Lỗ hổng buộc Mozilla vô hiệu hóa tính năng Opportunity Encryption mới ra mắt trong Firefox

Chưa đầy một tuần sau khi ra mắt tính năng  mới Opportunity Encryption trong Firefox, Mozilla đã phải vô hiệu hóa nó bởi vì một lỗ hổng bảo mật trong cài đặt HTTP Alternative Services của trình duyệt.

Lỗ hổng nằm trong tính năng mới được thiết kế cho phép thiết bị đầu cuối kết nối bảo mật đến máy chủ không hỗ trợ HTTPS. Opportunity Encryption trong Firefox 37 được tung ra vào 31 tháng 3. Điều này đặc biệt hữu ích chống lại việc bị theo dõi và các cuộc tấn công man-in-the-middle (MITM).

Mozilla tiếp tục tung ra Firefox 37.01 cập nhật trình duyệt vô hiệu hóa Opportunity Encryption vì lỗ hổng này liên quan đến việc kiểm chứng chứng chỉ. ” Nếu một Alt-Svc header được cụ thể trong một phản hồi HTTP/2, việc kiểm chứng chứng chỉ SSL có thể bị vượt qua đối với lần lượt máy chủ. Từ đó cảnh báo về chứng chỉ SSL không hợp lệ sẽ không được hiển thị và tin tặc có thể giả danh một trang khác thông qua tấn công MITM, thay thế chứng chỉ gốc bằng chứng chỉ của chúng.” – Mozilla cho biết.

Mozilla đã tập trung vào mã hóa ngày càng nhiều hơn trong dịch vụ của mình để chống lại sự theo dõi và xâm nhập của chính phủ. Opportunity Encryption là nỗ lực của Firefox nhằm bảo mật kết nối cho các tổ chức không triển khai HTTPS.

threatpost