Mozilla VPN சேவையுடன் இணைப்பதற்கான கிளையன்ட் மென்பொருளின் சுயாதீன தணிக்கையை முடித்துவிட்டதாக Mozilla அறிவித்துள்ளது. க்யூடி லைப்ரரியைப் பயன்படுத்தி எழுதப்பட்ட தனியே கிளையன்ட் பயன்பாட்டின் பகுப்பாய்வு மற்றும் லினக்ஸ், மேகோஸ், விண்டோஸ், ஆண்ட்ராய்டு மற்றும் ஐஓஎஸ் ஆகியவற்றுக்குக் கிடைக்கும் தணிக்கையை உள்ளடக்கியது. Mozilla VPN ஆனது 400 க்கும் மேற்பட்ட நாடுகளில் அமைந்துள்ள ஸ்வீடிஷ் VPN வழங்குநரான Mullvad இன் 30 க்கும் மேற்பட்ட சேவையகங்களால் இயக்கப்படுகிறது. VPN சேவைக்கான இணைப்பு WireGuard நெறிமுறையைப் பயன்படுத்தி செய்யப்படுகிறது.
ஒரு காலத்தில் NTPsec, SecureDrop, Cryptocat, F-Droid மற்றும் Dovecot திட்டங்களை தணிக்கை செய்த Cure53 ஆல் தணிக்கை மேற்கொள்ளப்பட்டது. தணிக்கையானது மூலக் குறியீடுகளின் சரிபார்ப்பை உள்ளடக்கியது மற்றும் சாத்தியமான பாதிப்புகளைக் கண்டறிவதற்கான சோதனைகளை உள்ளடக்கியது (கிரிப்டோகிராஃபி தொடர்பான சிக்கல்கள் கருதப்படவில்லை). தணிக்கையின் போது, 16 பாதுகாப்பு சிக்கல்கள் அடையாளம் காணப்பட்டன, அவற்றில் 8 பரிந்துரைகள், 5 குறைந்த அளவிலான ஆபத்து, இரண்டிற்கு நடுத்தர அளவு மற்றும் ஒன்று அதிக அளவு ஆபத்து என ஒதுக்கப்பட்டது.
எவ்வாறாயினும், நடுத்தர தீவிரத்தன்மை கொண்ட ஒரே ஒரு சிக்கல் மட்டுமே பாதிப்பாக வகைப்படுத்தப்பட்டது, ஏனெனில் அது மட்டுமே சுரண்டக்கூடியது. VPN சுரங்கப்பாதைக்கு வெளியே அனுப்பப்பட்ட மறைகுறியாக்கப்படாத நேரடி HTTP கோரிக்கைகள் காரணமாக கேப்டிவ் போர்டல் கண்டறிதல் குறியீட்டில் VPN பயன்பாட்டுத் தகவல் கசிவு ஏற்பட்டதால், தாக்குபவர் டிரான்ஸிட் டிராஃபிக்கைக் கட்டுப்படுத்த முடியுமானால் பயனரின் முதன்மை IP முகவரியை வெளிப்படுத்தும். அமைப்புகளில் கேப்டிவ் போர்டல் கண்டறிதல் பயன்முறையை முடக்குவதன் மூலம் சிக்கல் தீர்க்கப்படுகிறது.
நடுத்தர தீவிரத்தன்மையின் இரண்டாவது சிக்கல் போர்ட் எண்ணில் எண் அல்லாத மதிப்புகளை சரியாக சுத்தம் செய்யாததுடன் தொடர்புடையது, இது போர்ட் எண்ணை ஒரு சரத்துடன் மாற்றுவதன் மூலம் OAuth அங்கீகார அளவுருக்கள் கசிவை அனுமதிக்கிறது.[மின்னஞ்சல் பாதுகாக்கப்பட்டது]", இது குறிச்சொல் நிறுவலுக்கு வழிவகுக்கும்[மின்னஞ்சல் பாதுகாக்கப்பட்டது]/?code=..." alt=""> 127.0.0.1 க்கு பதிலாக example.com ஐ அணுகுகிறது.
மூன்றாவது சிக்கல், ஆபத்தானது எனக் கொடியிடப்பட்டது, அங்கீகாரம் இல்லாமல் எந்தவொரு உள்ளூர் பயன்பாட்டையும் லோக்கல் ஹோஸ்டுடன் இணைக்கப்பட்ட WebSocket வழியாக VPN கிளையண்டை அணுக அனுமதிக்கிறது. எடுத்துக்காட்டாக, செயலில் உள்ள VPN கிளையண்ட் மூலம், எந்த தளமும் screen_capture நிகழ்வை உருவாக்குவதன் மூலம் ஸ்கிரீன்ஷாட்டை உருவாக்கி அனுப்புவதை எவ்வாறு ஒழுங்கமைக்க முடியும் என்பது காட்டப்பட்டுள்ளது. WebSocket உள் சோதனைக் கட்டமைப்பில் மட்டுமே பயன்படுத்தப்பட்டது மற்றும் இந்த தகவல்தொடர்பு சேனலின் பயன்பாடு எதிர்காலத்தில் உலாவி ஆட்-ஆனுடன் தொடர்புகளை ஒழுங்கமைக்க மட்டுமே திட்டமிடப்பட்டதால், சிக்கல் பாதிப்பாக வகைப்படுத்தப்படவில்லை.
ஆதாரம்: opennet.ru