mozilla 计划下周二释出更新修复中间人攻击漏洞-k8凯发天生赢家

mozilla 计划下周二释出更新修复中间人攻击漏洞
作者:solidot.org 发布时间:2016-09-19

mozilla 计划于9月20日(下周二)释出更新修复 firefox 能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与mozilla实现的证书绑定(certificate pinning)保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书,防止伪造证书,即使那些证书是浏览器信任的ca签发的。但研究人员发现mozilla的实现有漏洞,允许中间人攻击者使用浏览器信任的ca签发伪造的mozilla扩展addons.mozilla.org服务器证书,向目标用户传送恶意扩展更新。有能力入侵ca签发伪造证书的攻击者通常被认为有国家在背后支持。tor项目在周五对这一漏洞发出了警告,tor浏览器是基于firefox。

网站地图