Mozilla修复Firefox证书订漏洞（修复火狐浏览器）

安全研究员Movrck公布了Firefox浏览器的一个严重漏洞，Mozilla上周五承认了这个更新过程中的漏洞及公钥订过期的问题。

该漏洞允许攻击者拦截浏览器加密流量，注入恶意的NoScript扩展更新，并获得远程代码执行权限。该缺陷还影响到Tor浏览器，Tor浏览器基于Firfox代码库，已经在上周五修复了该漏洞，在漏洞被研究员Movrck发现并披露后不久。

该漏洞发生在更新公钥订的过程中发生的，而不是使用HPKP时，Mozilla使用的自己的静态证书订，在9月3日过期，用户暴露在这种攻击下17天。

正如预期那样，Mozilla在自动更新过程中为一个Firefox附件组件修复了一个严格审查的漏洞，特别是针对证书订过期的情况。

昨天Mozilla在Firefox 49和Firefox ESR 45.4 修复了该漏洞。除了Movrck外，美国网络司令部前成员研究员Ryan Duff也分析了这个漏洞。两人均表示，该漏洞将是一个挑战，因为攻击者可以盗窃或伪造TLS证书插入自己的流量中，通过运行恶意的Tor出口节点或通过中间人攻击。

消息来源：threatpost 沃通WoSign翻译整理