انتشار نسخه جدید موزیلا برای رفع یک حفره امنیتی بحرانی

ارتباطات Alt-Svc با رایانه یا دستگاه تلفن همراه، یک مسیر جایگزین را برای دسترسی به صفحات وب پیشنهاد می‌دهد. امنیت این روش مانند HTTPS نیست اما بهتر از روش HTTP است.

 

 

متاسفانه در حالیکه آخرین به روز رسانی‌های فایرفاکس برای ارتقاء امنیت طراحی شده بود، مشکل بحرانی جدیدی نیز شناسایی شد که به محققان اجازه داد تا راهی را بیابند که درصورتیکه یک وب سرور بازدیدکنندگان را از طریق سیستم HTTP/2  هدایت کند بتوانند بررسی صحت گواهینامه‌ها را دور زنند.

 

 

در راهنمایی امنیتی اولیه موزیلا این رخنه امنیتی در رده امنیتی بحرانی قرار گرفت.این مشکل باعث می‌شود تا مهاجمان بتوانند بررسی صحت گواهینامه SSL را دور زنند. در نتیجه هشدارهای مربوط به نامعتبر بودن گواهینامه‌ها نشان داده نمی‌شود و هکر می‌تواند به طور بالقوه از یک حمله MitM استفاده کند و داده‌ها را به سرقت ببرد یا بدافزاری را بر روی سیستم نصب کند.

 

 

در گزارش تیم Sophos Naked  آمده است که این مشکل پس از شناسایی به سرعت رفع شده است. هم چینن این تیم اشاره کرد که پروتکل HTTPS/2 هنوز به مرحله نهایی نرسیده است و به طور گسترده مورد استفاده قرار نمی‌گیرد.

 

 

شرکت موزیلا هر ۶ هفته مرورگر فایرفاکس را به روز رسانی می‌کند. فایرفاکس برای رفع این مشکل به طور خودکار به نسخه ۳۷.۰.۱  ارتقاء می‌یابد یا کاربران می‌توانند به صورت دستی مرورگر خود را به آخرین نسخه به روز رسانی کنند.