یک آسیب‌پذیری به مدت ۹ سال در مرورگر فایرفاکس وصله‌‌نشده باقی مانده است

 

یک توسعه دهنده ی نرم افزار، آسیب پذیری را در مرورگر کروم و نرم افزار مدیریت پسورد Thunderbird کشف کرد که ۹ سال در این نرم افزارها وصله نشده باقی مانده بود. توسعه دهنده ی افزونه ی Adblock Plus وقتی کد مربوط به ین نرم افزارها را مورد بررسی قرار می داد، این آسیب پذیری‌ را شناسایی کرد.


تابع sftkdb_passwordToKey() پسورد را با استفاده از الگوریتم درهم‌سازی SHA-1 به کلیدهای رمزنگاری تبدیل می‌کند. الگوریتم SHA-1 رشته‌ای را به‌عنوان ورودی دریافت کرده و خروجی ۱۶۰ بیتی تولید می‌کند که به آن چکیده‌ی پیام گفته می‌شود. از سال ۲۰۰۵ میلادی امنیت این الگوریتم تایید نشده و به شرکت‌ها توصیه می‌شود تا الگوریتم‌های SHA-2 و SHA-3 را جایگزین آن کنند.


در توضیحات محققان آمده است هرکسی که بتواند تابع ورود به حساب را در وب‌سایت مشاهده کند می‌تواند به پسوردهای کاربران دست یابند. با کمک GPU های پرقدرت کنونی می‌تواند با سرعت بسیار بالایی مقادیر درهم‌سازی را محاسبه کرد به‌طوری که در عرض ۱ ثانیه می‌توان ۸٫۵ پسورد را حدس زد. 


همچنین باید به این نکته نیز توجه داشت که کاربران از پسوردهای ضعیفی استفاده می‌کنند و این مسأله، حدس آن‌ها را راحت‌تر می‌کند. محققان پس از بررسی‌های بیشتر متوجه شدند که این آسیب‌پذیری ۹ سال قبل شناسایی شده بود. آن‌ها همچنین اعلام کردند که وصله‌ی این آسیب‌پذیری کار سختی نبوده است. 
 

منبع

Related posts

Leave a Comment

4 × چهار =