Beveiligingslek in Mozilla VPN kan aanvaller systeemrechten geven

[Captain Kirk]

Een kwetsbaarheid in de vpn-software van Mozilla maakt het mogelijk voor een aanvaller die al toegang tot een systeem heeft om systeemrechten te krijgen en zo de machine volledig over te nemen. Mozilla heeft een beveiligingsupdate voor de vpn-software uitgebracht om het probleem te verhelpen. Het is de eerste keer dat een lek in Mozillas vpn-software de impact "high" heeft gekregen.

Het beveiligingslek wordt veroorzaakt doordat Mozilla VPN een OpenSSL-configuratie van een onveilige directory kan laden. Een gebruiker of aanvaller met beperkte rechten en toegang tot het systeem kan dit gebruiken om willekeurige code met systeemrechten op het systeem uit te voeren. Daardoor is het mogelijk om volledige controle over de machine te krijgen. De kwetsbaarheid werd door beveiligingsonderzoeker DoHyun Lee aan Mozilla gerapporteerd.

Mozillas vpn-dienst is door Mozilla zelf ontwikkeld en maakt gebruik van servers van vpn-provider Mullvad. Sinds de lancering heeft Mozilla drie kwetsbaarheden in de cliëntsoftware verholpen. De impact daarvan was echter als "low" en "moderate" bestempeld, wat op een beperkte impact duidt. De nu verholpen kwetsbaarheid, aangeduid als CVE-2022-0517, is het eerste high-lek in de software. Gebruikers wordt aangeraden om te updaten naar Mozilla VPN 2.7.1.

 

bron: https://www.security.nl