Hlavní navigace

Firefox a Chrome akceptují falešné certifikáty

25. 9. 2014

Sdílet

Ve webových prohlížečích Firefox a Chrome se nachází kritická bezpečnostní chyba, která umožňuje útočníkovi úspěšně podvrhnout SSL (TLS) certifikát pro libovolnou doménu.

Bezpečnostní chyba se nachází v implementaci SSL od Mozilly, Network Security Services (NSS). Problém konkrétně tkví v nesprávném parsování ASN.1 hodnot v podpisu certifikátu, což umožňuje vytvořit falešný certifikát s RSA klíčem.

Vzhledem k závažnosti chyby je uživatelům doporučováno okamžitě aktualizovat svůj prohlížeč, aktuální verze jsou Firefox 32.0.3 a Chrome 37.0.2062.124. Kromě nich se zranitelnost týká Firefoxu pro Android, Firefox ESR, Thunderbird a SeaMonkey, pro které Mozilla také vydala nové verze. Samozřejmě jsou zranitelné i další aplikace, využívající knihovnu NSS. Knihovnu NSS je potřeba aktualizovat na verzi NSS 3.16.2.1, NSS 3.16.5 nebo NSS 3.17.1.

(Zdroj: Mozilla)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Michal Strnad pracuje ve sdružení CESNET, provozující národní síť vědy a výzkumu, Akademii věd České republiky a jako redaktor na serveru Root.cz. Kromě počítačů rád běhá, kuchtí a čte vše, co se mu dostane pod ruku.