La empresa de seguridad alemana X41 D-SEC GMBH ha sido elegida por Mozilla para ser la responsable de auditar la seguridad de toda la plataforma Application Update Service (AUS). Dentro de esta auditoría se encontraban tanto el cliente de los usuarios que comprueba la versión y se encarga de descargar e instalar las últimas versiones cuando el navegador no está actualizado, como todo el backend, todos los servidores de Mozilla que alojan las últimas versiones del navegador y se encargan de que el cliente pueda buscar actualizaciones.
Todos los componentes de Firefox Update son seguros, y así lo demuestra esta auditoría
Los expertos en seguridad de esta firma han analizado línea a línea todo el código de este motor de actualizaciones automáticas y, además, han llevado a cabo diferentes técnicas de penetración y acceso a los servidores, las aplicaciones web y los clientes de actualización.Según la auditoría, no existen vulnerabilidades críticas en Firefox Update, por lo que los usuarios en ningún momento se han visto seriamente expuestos. Eso sí, la plataforma no era perfecta, pues la compañía sí ha encontrado 3 fallos de seguridad de alta peligrosidad (aunque solo eran accesibles desde consola, desde la red interna de la compañía), 7 de peligrosidad media y 4 de peligrosidad baja. Además, también se han encontrado 21 fallos más que no estaban relacionados directamente con la seguridad, pero que corregirlos ayudará a que funcione mejor toda la plataforma de actualizaciones.
Los fallos críticos que podrían haber supuesto un problema han sido:
- BLRG-PT-18-002: Uso de librerías JavaScript inseguras con vulnerabilidades conocidas.
- BLRG-PT-18-010: Token CSRF no validado.
- BLRG-PT-18-011: Uso de cookies sin etiquetas de seguridad.
Fuente > Google Drive