Исходное сообщение
"Опубликованы результаты аудита системы обновления Firefox" Отправлено opennews, 10-Окт-18 11:45
Компания Mozilla раскрыла (https://blog.mozilla.org/security/2018/10/09/trusting-the-de.../) результаты (https://drive.google.com/file/d/1v53GCYPxzoZmB1dCop1yJfZgS1w...) независимого аудита безопасности инфраструктуры, используемой для доставки обновлений к Firefox. В ходе аудита были проверены сервер отдачи обновлений (https://github.com/mozilla/balrog/), клиентские компоненты для применения обновлений и используемые проектом  методы доставки. Аудит включал как изучение кода на наличие возможных уязвимостей, так и анализ надёжности протокола и стойкости применяемых криптоалгоритмов. Аудит был выполнен компанией  X41 D-SEC и не выявил критических проблем, но обнаружил серию ошибок, среди которых 3 проблемы имеют высокий уровень опасности. Все опасные ошибки найдены в коде серверного бэкенда Balrog (https://github.com/mozilla/balrog/) и связаны с недоработками управляющего административного web-интерфейса в области защиты от CSRF-атак (Cross-Site Request Forgery). Опасность данных проблем снижается тем, что к Balrog имеет доступ только ограниченное число сотрудников, а для входа применяется многофакторная аутентификация. В ходе проверки также выявлено несколько ошибок в коде на языке Си, используемом для обработки файлов с обновлениями. Данные проблемы вызваны небезопасной работой с внешними данными и могут привести к отказу в обслуживании. Отмечается, что ошибки не могут привести к модификации обновлений, так как целостность файлов с обновлениями удостоверяется цифровой подписью. В общем виде отмечен высокий уровень защиты  сервиса обновлений. URL: https://blog.mozilla.org/security/2018/10/09/trusting-the-de.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=49422