Mozilla paikkasi Firefoxin vakavan SSL-haavoittuvuuden poistamalla koko HTTP/2 Alt-svc-ominaisuuden

Mozilla on korjannut vakavan haavoittuvuuden Firefox 37 -selaimessa. Haavoittuvuus korjattiin poistamalla selaimesta tuki HTTP/2:n Alt-Svc-ominaisuudelle (Alternative Service). HTTP/2:n Alt-Svc-ominaisuus mahdollistaa SSL-seritifikaattien varmistuksen ohittamisen määrätyillä palvelimilla niille linkkaavan sivuston SSL-sertifikaatin varjolla.

Tietoturvatutkija Muneaki Nishimuran löytämä haavoittuvuus mahdollisti Mozillan ilmoituksen mukaan niin sanotut Man-in-the-middle hyökkäykset väärennettyjen sertifikaattien kera. Mozillan totetutuksessa selain jätti näissä tapauksissa varoittamasta väärennetyistä SSL-sertifikaateista, jolloin hyökkääjä pystyi esiintymään luotettavana tahona.

Mikäli käyttäjällä on käytössä Firefox-selaimen automaattiset päivitykset, on selain päivittynyt jo ongelman poistavaan Firefox 37.0.1 -versioon.

Mozilla, Certificate verification bypass through the HTTP/2 Alt-Svc header