Верная своим обещаниям, Mozilla пропатчила уже раскрытую уязвимость в механизме обновления аддонов Firefox, которая была вызвана ошибкой при установке срока действия списка сертификатов, разрешенных для доменов. Заплатка включена в комплекты Firefox 49 и Firefox ESR 45.4, вышедшие в минувший вторник.

Наличие данной бреши открывало возможность для перехвата шифрованного трафика, внедрения вредоносных апдейтов для расширения NoScript и удаленного выполнения кода. Эта проблема затронула также браузер Tor, использующий кодовую базу Firefox. Патч для Tor был выпущен в прошлую пятницу, спустя несколько дней после раскрытия опасного бага исследователем movrck.

Кроме movrck данную уязвимость (CVE-2016-5284) изучил также Райан Дафф (Ryan Duff), ранее работавший в штабе киберопераций ВС США (U.S. Cyber Command). Оба исследователя отмечают, что эксплуатация в данном случае непроста, так как требует наличия определенных условий. Вначале придется украсть или подделать сертификат TLS для addons.mozilla.org, лишь после этого можно будет внедриться в канал связи — например, создать свои выходные узлы Tor и с их помощью занять позицию «человек посередине».

Это позволит отследить передачу обновления для NoScript, подменить его и в итоге установить удаленный контроль над машиной. По свидетельству исследователей, подобную MitM-атаку проще провести ковром против пользователей Tor или Firefox, адресный перехват осуществить гораздо сложнее. Расходы в любом случае будут велики — по оценке movrck, порядка $100 тыс., так что для успеха эксплойта потребуется могущественный спонсор.

По словам представителей Mozilla, уязвимость CVE-2016-5284 проявляется с каждым выпуском Firefox, обновляющим список закрепления открытых ключей. Дело в том, что разработчик использует не стандартную процедуру HPKP, а собственные статические привязки, срок которых периодически истекает. Обычно это случается до выхода очередного релиза Firefox с новым белым списком, как в этом месяце: Firefox 49 появился позавчера, а установленные закрепления перестали действовать 3 сентября, то есть пользователи были 17 дней открыты MitM-атакам. Дафф даже отметил, что movrck очень повезло уложиться с тестом именно в это окно — в любое другое время атака на CVE-2016-5284 была бы невозможной.

Анонсируя планы Mozilla относительно патча в минувшую пятницу, Селена Декельман (Selena Deckelmann) заявила, что данных о наличии вредоносных сертификатов itw у компании нет. Представитель Mozilla также предупредила, что проблема особенно остра для пользователей браузера Tor, так как он раздается в комплекте со специальными аддонами, призванными оберегать приватность.

Как обнаружил Дафф, проблема утраты актуальности белых списков в браузере Mozilla еще дважды возникнет в текущем году. Самое большое «окно беззащитности» следует ожидать в конце года: срок закреплений, которыми будет оперировать Firefox 50, истечет 17 декабря, а следующее обновление браузера запланировано лишь на 24 января. Включенный в Firefox 49 белый список будет действовать до ноября, так что у Mozilla не так много времени для решения проблемы.

Уязвимости CVE-2016-5284 разработчик присвоил статус «высокой степени опасности». Четыре бреши, также закрытые в Firefox 49, оцениваются как критические. Еще два бага, CVE-2016-5256 и CVE-2016-5257, привнесены, по выражению Mozilla, «небезопасностью памяти». Обе уязвимости, обнаруженные в ходе внутреннего аудита, чреваты исполнением произвольного кода.

Брешь переполнения буфера в mozilla::gfx::FilterSupport::ComputeSourceNeededRegions проявлялась в ходе применения фильтров при работе с холстом. Критический баг переполнения буфера в куче, обнаруженный в nsBMPEncoder::AddImageFrame, допускал эксплойт при трансформации фреймов изображений и мог повлечь эксплуатируемый крэш. Эта уязвимость, как и CVE-2016-5257, оценена как критическая и пропатчена в Firefox ESR 45.4.

Категории: Главное, Уязвимости