VU#595768: Расширение Securly для Chrome содержит множественные уязвимости слабой криптографии и контроля доступа
Версия 3.0.7 расширения Securly для Chrome имеет несколько критических уязвимостей безопасности. Эти уязвимости включают небезопасную передачу данных по HTTP для конфиденциальных правил фильтрации. Используется слабое шифрование, о чем свидетельствуют жестко закодированные в открытом виде парольные фразы AES и устаревший метод получения ключей. Неправильный контроль доступа позволяет неаутентифицированным пользователям получать доступ к защищенным ресурсам и конфиденциальным данным конфигурации. Злоумышленник может использовать эти слабости для кражи информации о фильтрации. Они также могут вызвать отказ в обслуживании, манипулируя загруженными файлами конфигурации. Кроме того, злоумышленники могут изменять правила блокировки контента для пользователей-учеников. Одна из уязвимостей связана с динамически зарегистрированным скриптом контента, который обходит проверки безопасности. Этот скрипт может скрывать весь контент страницы бессрочно, если серверы Securly недоступны. Расширение также использует устаревшее хеширование SHA-1 для критически важного сопоставления URL-адресов. Хотя Securly не удалось связаться для получения исправления, администраторы могут снизить риски, ограничив использование расширения в недоверенных сетях и используя управляемые школой VPN.