Minulý týden vydala Mozilla nový Firefox 37, kde mimo jiné přibyla podpora šifrování u spojení přes HTTP/2 AltSvc.
Bohužel byla v implementaci HTTP/2 Alt-Svc nalezena bezpečnostní chyba MFSA 2015–44, jenž umožňuje v případě specificky upraveného serveru obejít verifikační proces, prováděný pomocí SSL certifikátů. Důsledkem toho nebude zobrazeno varování o nevalidním SSL certifikátu, a útočník tak může provést man-in-the-middle (MITM).
Chyby MFSA 2015–44 a MFSA 2015–43 byly opraveny v minoritní verzi Firefox 37.0.1.