Система мастер-пароля в Firefox использует слабый механизм шифрования

Система мастер-пароля в Firefox использует слабый механизм шифрования

На протяжении последних девяти лет Mozilla использует недостаточно устойчивый механизм шифрования для функции «мастер-пароль» («master password»). Напомним, что Firefox и Thunderbird позволяют настраивать «мастер-пароль», который используется для шифрования каждой строки любого пароля, который пользователь сохраняет в своем браузере или почтовом клиенте.

Ранее эксперты хвалили эту функцию, так как  большинство браузеров умудрялись хранить сохраненные пароли в открытом виде, что, конечно же, позволяло злоумышленникам без проблем их перехватить. Не говоря уже о том, что любой, кто имеет физический доступ к компьютеру пользователя, мог запросто просмотреть сохраненные пароли пользователя.

Однако теперь автор расширения AdBlock Plus Владимир Палант (Wladimir Palant) утверждает, что используемая функцией «мастер-пароля» схема шифрования достаточно слаба и может быть уязвима к атаке вида брутфорс.

«Заглянув в исходный код, я обнаружил функцию sftkdb_passwordToKey(), которая отвечает за конвертацию пароля в ключ шифрования при помощи алгоритма SHA-1. Так вот, здесь кроется уязвимое место», — рассказывает Палант.

Автор AdBlock Plus имеет в виду количество итераций функции SHA-1 — 1. То есть SHA-1 применяется лишь один раз, что недопустимо, учитывая, что отраслевые практики пришли к минимальной цифре в 10 000. Например, популярный менеджер паролей LastPass использует значение, равное 100 000.

Такое малое количество итераций чревато тем, что атакующий может взломать защиту, используя пресловутую атаку типа брутфорс, что позволит ему расшифровать пароли, сохраненные в базах Firefox или Thunderbird.

Палант напоминает, что современные технологии позволяют графическим процессорам подбирать несложные мастер-пароли меньше чем за минуту.

Удивительно, что Палант далеко не первый исследователь, отметивший наличие этой проблемы. Девять лет назад некто Джастин Долск (Justin Dolske) рапортовал Mozilla об этом же баге.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Корпоративные продукты Sophos конфликтуют с майскими патчами в Windows 7

Sophos предупреждает пользователей, что корпоративные продукты компании, установленные на системах Windows 7, при попытке инсталляции майского набора патчей могут стать причиной зависания процесса апдейта. Весь процесс зависает на моменте «Настройка обновлений 30%».

Речь идет о продуктах Sophos Endpoint Security and Control и Sophos Central Endpoint Standard/Advanced. Согласно сообщению компании, проблема также проявляет себя и в системах Windows 8.1.

В Sophos полагают, что причиной программного конфликта стали два обновления:

  • Май 14, 2019 — KB4499164 (ежемесячный апдейт).
  • Май 14, 2019 — KB4499165 (патч безопасности).

«Мы наблюдаем растущее число жалоб на невозможность установить обновления. Пользователи сообщают, что проблема возникла после установки патчей, вышедших 14 мая 2019 года», — пишет компания.

На данный момент точно известно, что баг затрагивает пользователей систем Windows 7 и Windows Server 2008 R2. Также есть все основания полагать, что пользователи Windows 8.1 и Windows Server 2012 R2 тоже столкнулись с конфликтом.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru