Уязвимость обхода проверки закрепления ключей в Mozilla Firefox из-за некорректной обработки ошибки верификации издателя
Описание
Реализация привязки открытого ключа (PKP) в Mozilla Firefox до версии 33.0 пропускает проверку привязки при неуточненной ошибке проверки эмитента, что облегчает удаленным злоумышленникам обход предусмотренной конфигурации привязки и подмену веб-сайта с помощью поддельного сертификата, что приводит к отображению диалогового окна «Недоверенное соединение» для пользователя.
Затронутые версии ПО
- Mozilla Firefox до версии 33.0
Тип уязвимости
- Спуфинг
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
The Public Key Pinning (PKP) implementation in Mozilla Firefox before 33.0 skips pinning checks upon an unspecified issuer-verification error, which makes it easier for remote attackers to bypass an intended pinning configuration and spoof a web site via a crafted certificate that leads to presentation of the Untrusted Connection dialog to the user.
The Public Key Pinning (PKP) implementation in Mozilla Firefox before 33.0 skips pinning checks upon an unspecified issuer-verification error, which makes it easier for remote attackers to bypass an intended pinning configuration and spoof a web site via a crafted certificate that leads to presentation of the Untrusted Connection dialog to the user.
The Public Key Pinning (PKP) implementation in Mozilla Firefox before ...
The Public Key Pinning (PKP) implementation in Mozilla Firefox before 33.0 skips pinning checks upon an unspecified issuer-verification error, which makes it easier for remote attackers to bypass an intended pinning configuration and spoof a web site via a crafted certificate that leads to presentation of the Untrusted Connection dialog to the user.
EPSS
4.3 Medium
CVSS2