Mozilla heeft een nieuwe versie van Firefox uitgebracht die acht lekken in de browser verhelpt en certificaat pinning introduceert, dat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen. Van de acht kwetsbaarheden zijn er vijf door Mozilla als kritiek beoordeeld, de hoogste rating voor een lek.
Dit houdt in dat een aanvaller het onderliggende systeem volledig kan overnemen als de gebruiker met een ongepatchte versie een gehackte of kwaadaardige website bezoekt. Verdere interactie is niet vereist. Naast het verhelpen van de kwetsbaarheden bevat Firefox 32 ook certificaat pinning. Deze maatregel zorgt ervoor dat gebruikers ook daadwerkelijk de website te zien krijgen die ze willen bezoeken.
Via certificaat pinning kan een website aangeven door welke Certificaat Authoriteit (CA) zijn SSL-certificaat is uitgegeven. Wordt voor de website een SSL-certificaat gebruikt dat door een andere CA is uitgegeven, dan slaat Firefox alarm. Dit moet incidenten zoals DigiNotar voorkomen. Daar genereerden de aanvallers bij DigiNotar een SSL-certificaat voor de websites van Google.
Browsers accepteerden dit SSL-certificaat omdat DigiNotar een geaccepteerde CA was. Google Chrome sloeg echter alarm omdat het over certificaat pinning beschikt. De browser zag dat de uitgevende CA niet de CA was die normaal de SSL-certificaten voor Google uitgeeft en kon zo gebruikers waarschuwen ,wat uiteindelijk ervoor zorgde dat de inbraak bij DigiNotar wereldkundig werd.
Vooralsnog werkt certificaat pinning alleen bij de websites van Mozilla en Twitter. Binnenkort zal ook Google worden toegevoegd. Later zullen ook andere websites volgen. Updaten naar Firefox 32 kan via de browser of Mozilla.org
Deze posting is gelocked. Reageren is niet meer mogelijk.