Обнаружена новая уязвимость в Firefox

Исследователь Александр Клинк описал уязвимость, благодаря которой можно отследить пользователей Mozilla Firefox. Firefox кэширует промежуточные сертификаты для более быстрой загрузки web-сайтов, что позволяет третьей стороне определить различные данные о посетителях ресурсов. Клинк пишет, что теже рекламодатели могут определить, с помощью просто теста какие сертификаты хранятся в памяти Firefox.

Например, заинтересованная сторона может загрузить иконки того же сайта, с их HTTPS ресурсов, большинство сайтов использует один и тот же промежуточный сертификат, то некоторые изображения будут загружаться нормлаьно, ведь сертификат есть в браузере. А вот если при загрузке будет возникать ошибка, то можно сделать вывод, что пользователь на данный сайт вообще не заходил никогда, таким образом эту информацию могут получить рекламодателеи и использовать в своих целях.

Казалось бы ну и ничего страшного, но используя эту малую утечку, можно выяснить данные о местонахождении, а не только куда заходил пользователь. Преступники могут провеорять работу браузеров таким способом в песочнице, чтобы потом они доставляли контент куда надо.

Исследователь сразу написал в Mozilla о данной ситуации, на данный момент разработчики из компании внедряют систему телеметрии, что позволит более точно собрать данные об эффективности промежуточных сертификатов, мысчитаем, что решение данной уязвимости может занять у разработчиков довольно продолжительное время.

При этом необходимо понимать, что пользователям операционной системы Tails данная уязвимость не угрожает, как и всем пользователям Tor браузера.