O Firefox 37, lançado semana passada, trazia uma nova opção chamada de “criptografia oportunista” (OE) que era capaz de criptografar conexões quando não houvesse suporte aos protocolos HTTPS. Ironicamente, justamente a função pensada para fornecer mais proteção era a mais vulnerável e continha uma falha grave de segurança.

O bug permitia que certificados falsos não fossem detectados pelo navegador, facilitando ataques do tipo man-in-the-middle, em que os dados trocados são interceptados sem que o usuário perceba. Por conta disso, a nova versão 37.0.1 desabilitou a funcionalidade para impedir que a falha fosse explorada por pessoas mal-intencionadas.

Chad Weiner, diretor de produto da Mozilla, declarou à Ars Technica que a função de criptografia oportunista foi desabilitada por conta do defeito, mas que a equipe planeja reativar a funcionalidade assim que conseguir investigar a fundo e resolver o problema.

Por sorte, a falha foi detectada rapidamente e não deve ter um impacto muito grande para os usuários do Firefox. Para quem tiver interesse em entender melhor o problema, a empresa ofereceu uma descrição detalhada da vulnerabilidade neste link.

Cupons de desconto TecMundo: