Mozilla今天发布了Firefox 32,它为开源Web浏览器的用户提供了新的安全修复程序和功能。Firefox 32现在提供对公钥固定的支持,从而可以增强安全套接字层(SSL)证书真实性的安全性。Mozilla安全与隐私高级工程经理Sid Stamm向eWEEK解释:“密钥固定使站点运营商可以指定哪些证书颁发机构(CA)可以为其颁发有效的证书,而不是接受许多受信任的CA中的任何一个。” 。“这有助于减少任何CA折衷可以被利用来为站点发布的机会。
”
在过去的几年中,发生了多起CA受到某种程度影响的事件,包括Comodo以及DigitNotar的事件。
新的密钥固定功能结合了现代Web浏览器使用的多种机制,以帮助确保SSL证书的完整性和真实性。Mozilla长期以来一直支持在线证书状态协议(OCSP),浏览器使用它来与CA核对给定证书的状态。OCSP的扩展是一种称为OCSP Stapling的技术,它有助于加速SSL证书状态检查过程。
为了进一步提高安全性,Firefox 32从浏览器中删除了1,024位信任证书。
Stamm说:“ 1,024位RSA密钥已不再被认为对根证书而言不够安全,我们已经淘汰了它们,而使用了更强的密钥,” Stamm说。“最近删除根目录是Firefox增强加密功能的一部分。”
除了新的安全功能外,Mozilla还发布了六项针对Firefox 32中已修补漏洞的安全公告。其中三项公告的等级为“严重”,所有关键漏洞均与内存有关的漏洞。
Mozilla基金会安全咨询(MFSA)2014-67详细介绍了内存损坏漏洞,但有可能被利用来运行任意代码。
Google Chrome安全团队研究员Abhishek Arya因报告MFSA 2014-68而闻名,这是动画SVG图形内容的使用后使用内存错误。
Mozilla称,与惠普的引爆点零日行动(ZDI)合作的研究人员报告了在页面上设置文本方向导致的“使用后使用内存”问题(标识为MFSA 2014-72)。