Mozilla 计划于 9 月 20 日（下周二）释出更新修复Firefox 能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与 Mozilla 实现的证书绑定（Certificate pinning）保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书，防止伪造证书，即使那些证书是浏览器信任的 CA 签发的。

但研究人员发现 Mozilla 的实现有漏洞，允许中间人攻击者使用浏览器信任的 CA 签发伪造的 Mozilla 扩展 addons.mozilla.org 证书，向目标用户传送恶意扩展更新。

有能力入侵 CA 签发伪造证书的攻击者通常被认为有国家在背后支持。

ITle="mozilla-to-fix-crITical-certificate-pinning-issue-in-firefox-49-508404-2.jpg" src="http://news.cnblogs.com/images2015.cnblogs.com/news/66372/201609/66372-20160918174245707-1922371659.jpg" alt="http://static.cnbetacdn.com/article/2016/0918/37f95f3beae33fb.jpg" />