Уязвимость в OpenSSL затрагивает Mozilla Persona и Firefox Account

Уязвимость в OpenSSL затрагивает ряд продуктов Mozilla. В частности, речь идет о серверах, обслуживающих сервисы Persona и Firefox Account. Серверы располагаются на платформе Amazon Web Services (AWS). Стоит отметить, что в ней шифрованное соединение было реализовано при помощи уязвимой версии OpenSSL. Важно, что брешь не затрагивает работу обозревателя Firefox. Причиной тому является использование в браузере libnss.

На текущий момент службы являются защищенными от возможных кибератак. Кроме того, компании пока неизвестно о том, осуществлялись ли попытки реализации подобных инцидентов безопасности. Несмотря на это, существует риск утечки идентификаторов сессий для доступа к инфраструктуре Persona. Также риску компрометации могли подвергнуться и параметры пользователей, которые авторизовались в Firefox Account.

Интересно, что утечку можно реализовать в случае, когда вводится пароль. Так, в дальнейшем при обращении и синхронизации данных в процессе работы используется дополнительное шифрование.

Для того чтобы максимально обезопасить своих пользователей, Mozilla заменила TLS-ключи для сервисов проекта, а также отозвала сертификаты и ключи, которые могли быть затронуты. Кроме того, эксперты компании «очистили» сессионные идентификаторы Persona, в связи с чем может потребоваться повторный ввод пароля.