Опубликованы результаты аудита безопасности обновления Firefox

by Опубликовано

Одним из основных компонентов веб-браузера Firefox является интегрированная система обновления. Он предназначен для регулярной проверки наличия новых обновлений, а также для автоматической загрузки и установки новых обновлений. Он является основным компонентом браузера.

Mozilla наняла немецкую охранную компанию X41 D-SEC GMBH для аудита службы обновления приложений (AUS), которая обеспечивает автоматическое обновление Firefox. Исследователи безопасности компании проанализировали компонент обновления в клиенте Firefox, а также серверные службы, предназначенные для доставки обновлений и предоставления сотрудникам Mozilla функций управления (называемых Balrog).

Исследователи проанализировали исходный код компонентов и использовали «различные методы тестирования на проникновение для оценки целостности инфраструктуры, веб-приложений и клиентов обновлений».

Нет критических проблем

аудит обновлений firefox

Исследователи не обнаружили критических проблем. Исследователи обнаружили три уязвимости, которым они присвоили высокую оценку, семь — средней и четыре — низкой. Кроме того, они обнаружили 21 дополнительную проблему «без прямого воздействия на безопасность».

Все уязвимости с высоким рейтингом серьезности были обнаружены в консоли управления Balrog, доступной только во внутренней сети Mozilla.

Наиболее серьезной обнаруженной уязвимостью была уязвимость подделки межсайтовых запросов (CSRF) в интерфейсе веб-приложения администрирования, которая могла позволить злоумышленникам инициировать непреднамеренные административные действия при определенных условиях.

Среди других обнаруженных уязвимостей были проблемы с повреждением памяти, небезопасная обработка ненадежных данных и проблемы со стабильностью (отказ в обслуживании (DoS)). Большинство этих проблем было ограничено требованием обхода криптографических подписей.

Не было обнаружено проблем с обработкой криптографических подписей для файлов обновлений. В файлах XML, описывающих расположение файлов обновлений и другие метаданные, не было криптографических подписей. Файлы были загружены через HTTPS, но сертификаты сервера или открытые ключи не были закреплены.

Три уязвимости имеют высокий рейтинг:

  • BLRG-PT-18-002: Использование небезопасных библиотек JavaScript с известными уязвимостями
  • BLRG-PT-18-010: токен CSRF не проверен
  • BLRG-PT-18-011: файлы cookie без флажка безопасности

Mozilla уже исправила некоторые из проблем и активно работает над исправлением оставшихся. Полный аудит был опубликовано на Google Диске. Он содержит подробную информацию о каждой из обнаруженных уязвимостей и дополнительную документацию.

Вывод

Сторонний аудит безопасности обновляемых компонентов Firefox как на клиенте, так и на серверной части показал, что безопасность была хорошей. Во время аудита не было обнаружено никаких критических проблем, и все проблемы с высоким рейтингом были обнаружены в административной консоли, доступной только во внутренней сети Mozilla.

Смотрите так же:

  1. Загрузки бета-версии Microsoft Security Essentials
  2. uBlock Origin теперь может блокировать JavaScript по умолчанию
  3. YouTube Experiment избавляется от всей рекламы на сайте
  4. Booking.com обещает положить конец манипулятивной практике продаж в ЕС

Опубликовано