Hlavní navigace

Firefox a Chrome akceptují falešné certifikáty

Michal Strnad

Ve webových prohlížečích Firefox a Chrome se nachází kritická bezpečnostní chyba, která umožňuje útočníkovi úspěšně podvrhnout SSL (TLS) certifikát pro libovolnou doménu.

Bezpečnostní chyba se nachází v implementaci SSL od Mozilly, Network Security Services (NSS). Problém konkrétně tkví v nesprávném parsování ASN.1 hodnot v podpisu certifikátu, což umožňuje vytvořit falešný certifikát s RSA klíčem.

Vzhledem k závažnosti chyby je uživatelům doporučováno okamžitě aktualizovat svůj prohlížeč, aktuální verze jsou Firefox 32.0.3 a Chrome 37.0.2062.124. Kromě nich se zranitelnost týká Firefoxu pro Android, Firefox ESR, Thunderbird a SeaMonkey, pro které Mozilla také vydala nové verze. Samozřejmě jsou zranitelné i další aplikace, využívající knihovnu NSS. Knihovnu NSS je potřeba aktualizovat na verzi NSS 3.16.2.1, NSS 3.16.5 nebo NSS 3.17.1.

(Zdroj: Mozilla)

Našli jste v článku chybu?