O Firefox 37,
lançado semana passada, trazia uma nova opção chamada de “criptografia
oportunista” (OE) que era capaz de criptografar conexões quando não
houvesse suporte aos protocolos HTTPS, e acabou fazendo com que o software trave ou reinicialize.
Ironicamente, justamente a função
pensada para fornecer mais proteção era a mais vulnerável e continha
uma falha grave de segurança.
O bug permitia que certificados falsos não fossem detectados pelo navegador, facilitando ataques do tipo man-in-the-middle,
em que os dados trocados são interceptados sem que o usuário perceba.
Por conta disso, a nova versão 37.0.1 desabilitou a funcionalidade para
impedir que a falha fosse explorada por pessoas mal-intencionadas.
Gostou do blog, curta a página no Facebook.
Gostou do blog, curta a página no Facebook.
Chad Weiner, diretor de produto da Mozilla,
declarou à Ars Technica que a função de criptografia oportunista foi
desabilitada por conta do defeito, mas que a equipe planeja reativar a
funcionalidade assim que conseguir investigar a fundo e resolver o
problema.
Por sorte, a falha foi detectada rapidamente e não deve ter um
impacto muito grande para os usuários do Firefox. Para quem tiver
interesse em entender melhor o problema, a empresa ofereceu uma
descrição detalhada da vulnerabilidade neste link.
Fonte : http://www.tecmundo.com.br/firefox/78045-falha-grave-seguranca-forca-mozilla-desativar-nova-funcao-firefox.htm
Nenhum comentário:
Postar um comentário