Обнаружены две уязвимости в Mozilla
Группа разработчиков Mozilla Foundation обнаружила несколько серьезных ошибок в механизме работы своих браузеров с цифровыми документами, подтверждающими подлинность сайтов. Удивительным является тот факт, что "ноги" данных уязвимостей растут еще из кода предшественника браузера — Netscape 4.0. По данным разработчика этому коду шесть или семь лет, однако не смотря на то, что все серьезные баги выловлены еще во времена Netscape 4.0, нахождение серьезной ошибки стало достаточно неожиданным.
Выявленые ошибки управления сертификатами всплыли были обнаружены в не совсем удобное время для проекта, когда специалисты по безопасности как раз продвигают браузеры Mozilla Foundation и Opera в качестве более надежной альтернативы Microsoft Internet Explorer. Хотя Mozilla и другие конкуренты IE утверждают, что их модель защиты гораздо надежнее, они признают также, что на Microsoft нацелено больше атак просто потому, что это лидер рынка. Если же Mozilla и другие второстепенные браузеры обретут популярность, ситуация может измениться.
Первая из обнаруженных уязвимостей позволяет злоумышленнику заманить посетителя на ложный сайт оноайн-банка или крупной компании, подделав сертификат. Проблема связана с работой стандартного механизма получения информации от ресурсов, которые пользователь еще не посещал. Вторая ошибка позволяет организовывать атаки типа отказа в обслуживании. Из-за этой ошибки фальшивый сертификат может вызывать искажение подлинного. В результате посетителю подлинного сайта будет отказано в доступе. Исправленные версии браузеров разработчик планирует представить в течение ближайших недель.
Выявленые ошибки управления сертификатами всплыли были обнаружены в не совсем удобное время для проекта, когда специалисты по безопасности как раз продвигают браузеры Mozilla Foundation и Opera в качестве более надежной альтернативы Microsoft Internet Explorer. Хотя Mozilla и другие конкуренты IE утверждают, что их модель защиты гораздо надежнее, они признают также, что на Microsoft нацелено больше атак просто потому, что это лидер рынка. Если же Mozilla и другие второстепенные браузеры обретут популярность, ситуация может измениться.
Первая из обнаруженных уязвимостей позволяет злоумышленнику заманить посетителя на ложный сайт оноайн-банка или крупной компании, подделав сертификат. Проблема связана с работой стандартного механизма получения информации от ресурсов, которые пользователь еще не посещал. Вторая ошибка позволяет организовывать атаки типа отказа в обслуживании. Из-за этой ошибки фальшивый сертификат может вызывать искажение подлинного. В результате посетителю подлинного сайта будет отказано в доступе. Исправленные версии браузеров разработчик планирует представить в течение ближайших недель.