15楼#
发布于:2016-09-18 14:11
嗯 下周二释放出更新解决,就是49可以搞定,48可能也有更新
Mozilla 计划于9月20日(下周二)释出更新修复 Firefox 能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与Mozilla实现的证书绑定(Certificate pinning)保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书,防止伪造证书,即使那些证书是浏览器信任的CA签发的。但研究人员发现Mozilla的实现有漏洞,允许中间人攻击者使用浏览器信任的CA签发伪造的Mozilla扩展addons.mozilla.org服务器证书,向目标用户传送恶意扩展更新。有能力入侵CA签发伪造证书的攻击者通常被认为有国家在背后支持。Tor项目在周五对这一漏洞发出了警告,Tor浏览器是基于Firefox。 http://www.solidot.org/story?sid=49711 |
|
|
16楼#
发布于:2016-09-18 20:35
@pcxfirefox
这是直接针对 49 的 workaround 参考之前提到的 https://bugzilla.mozilla.org/show_bug.cgi?id=1303127 目前相关 bug 包括 * 修改生成 preload static pinning 列表的自动化脚本延长过期时间(1303414) * 把生成的延长了过期时间的 preload static pinning 列表编译进二进制(对应 49 的这个 1303370 和对应 45esr 的 1285849) * 扩展更新需要验证 id 是否匹配(1303418) * 服务器端配置 HPKP 头(1303371) * 对更新信息签名(1303183) 1、2、3、5 都涉及客户端的修改 |
|
|
上一页
下一页