Mozilla paikkasi Firefoxin vakavan SSL-haavoittuvuuden poistamalla koko HTTP/2 Alt-svc-ominaisuuden
Mozilla on korjannut vakavan haavoittuvuuden Firefox 37 -selaimessa. Haavoittuvuus korjattiin poistamalla selaimesta tuki HTTP/2:n Alt-Svc-ominaisuudelle (Alternative Service). HTTP/2:n Alt-Svc-ominaisuus mahdollistaa SSL-seritifikaattien varmistuksen ohittamisen määrätyillä palvelimilla niille linkkaavan sivuston SSL-sertifikaatin varjolla.
Tietoturvatutkija Muneaki Nishimuran löytämä haavoittuvuus mahdollisti Mozillan ilmoituksen mukaan niin sanotut Man-in-the-middle hyökkäykset väärennettyjen sertifikaattien kera. Mozillan totetutuksessa selain jätti näissä tapauksissa varoittamasta väärennetyistä SSL-sertifikaateista, jolloin hyökkääjä pystyi esiintymään luotettavana tahona.
Mikäli käyttäjällä on käytössä Firefox-selaimen automaattiset päivitykset, on selain päivittynyt jo ongelman poistavaan Firefox 37.0.1 -versioon.
Mozilla, Certificate verification bypass through the HTTP/2 Alt-Svc header