O Firefox 37, lançado semana passada, trazia uma nova opção chamada de “criptografia oportunista” (OE) que era capaz de criptografar conexões quando não houvesse suporte aos protocolos HTTPS. Ironicamente, justamente a função pensada para fornecer mais proteção era a mais vulnerável e continha uma falha grave de segurança.
O bug permitia que certificados falsos não fossem detectados pelo navegador, facilitando ataques do tipo man-in-the-middle, em que os dados trocados são interceptados sem que o usuário perceba. Por conta disso, a nova versão 37.0.1 desabilitou a funcionalidade para impedir que a falha fosse explorada por pessoas mal-intencionadas.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Chad Weiner, diretor de produto da Mozilla, declarou à Ars Technica que a função de criptografia oportunista foi desabilitada por conta do defeito, mas que a equipe planeja reativar a funcionalidade assim que conseguir investigar a fundo e resolver o problema.
Por sorte, a falha foi detectada rapidamente e não deve ter um impacto muito grande para os usuários do Firefox. Para quem tiver interesse em entender melhor o problema, a empresa ofereceu uma descrição detalhada da vulnerabilidade neste link.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Fontes
