Firefox浏览器易受中间人攻击

周五，Tor项目发布了Tor浏览器6.0.5版，解决了浏览器HTTPS证书锁定系统中的问题，而Mozilla仍需修补Firefox中的关键缺陷。

攻击者可以提供虚假的Tor和Firefox加载项更新

该漏洞可能允许中间人攻击者获得插件的伪造证书。mozilla。org来模拟Mozilla服务器，从而为目标计算机上安装的NoScript、HTTPS Everywhere或其他Firefox扩展提供恶意更新。

“这可能会导致任意代码执行[漏洞]，”Tor官员在一份咨询中警告说。“此外，其他内置证书固定也会受到影响。”

尽管获取插件的欺诈证书很有挑战性。mozilla。从数百个Firefox可信证书颁发机构（CA）中的任何一个获得，强大的国家攻击者都可以攻击它。

该漏洞最初是在周二由一位名为@movrcx的安全专家发现的，他描述了针对Tor的攻击，估计攻击者需要10万美元才能发起多平台攻击。

实际问题存在于Firefox的证书固定过程中

然而，根据独立安全研究人员瑞安·达夫周四发布的一份报告，这个问题也会影响Firefox的稳定版本，尽管9月4日推出的夜间构建版本不易受到影响。

达夫说，真正的问题在于Firefox的自定义处理方法。”证书固定，这与IETF批准的HPKP（HTTP公钥固定）标准不同。

证书固定是一种HTTPS功能，可确保用户的浏览器仅接受特定域或子域的特定证书密钥，并拒绝所有其他密钥，从而防止用户成为通过欺骗SSL证书进行的攻击的受害者。

HPKP标准虽然不太流行，但通常用于处理敏感信息的网站。

达夫说：“Firefox对自己的Mozilla认证使用自己的静态密钥固定方法，而不是使用HPKP。”。“静态方法的实施似乎比HPKP方法弱得多，并且存在缺陷，在这种攻击场景中是可以绕过的。”

Mozilla计划在9月20日发布Firefox 49，因此团队有足够的时间进行修复。Tor项目在漏洞公布后只用了一天时间就解决了该漏洞。

Tor Browser的用户应该更新到版本60.5，而Firefox用户应该禁用自动附加更新，浏览器中的默认功能，或者应该考虑使用不同的浏览器，直到Mozilla发布更新。