德國資安研究人員Alexander Klink於本周揭露,Firefox快取中間憑證(intermediate CA)的方式可能會導致使用者的機密資訊外洩,像是所在的地區及瀏覽喜好等,而Mozilla則已動手修補該臭蟲。
Klink說明,當Firefox用戶在造訪一個HTTPS網頁時,伺服器會同時回傳伺服器憑證與中間憑證,若伺服器的配置錯誤,只回傳了伺服器憑證,Firefox用戶通常會在瀏覽器上看到錯誤訊息,但若該中間憑證已存放在Firefox的快取中,那麼網頁仍然可正常載入。
這是因為許多HTTPS網站使用了同樣的中間憑證,所以若Firefox用戶曾經造訪其中一個網站,就會將中間憑證留存於快取中。
Klink指出,上述便足以讓駭客推斷Firefox用戶的個人檔案,例如某些中間憑證多被應用在特定的國家或區域,或是就讀的學校等,也能得知使用者的瀏覽偏好,就算是啟用了私密瀏覽(Private Browsing)模式也於事無補,因為該模式並未隔離快取。
Klink在今年1月27日通知了Mozilla,還提出了建議,認為最好的解決之道就是避免Firefox連結任何配置錯誤的伺服器,不管Firefox是否快取了與該伺服器相容的中間憑證。