Nyttolasten fungerar bara mot Windows-system som kör Firefox och Tor Browser, även om sårbarheten finns även på Firefox för macOS och Linux.
Bild: Mozilla
Mozilla och Tor har släppt patchar för Firefox och att Firefox-baserade Tor Browser för att blockera en live-attack som syftar till att avmaskera användare av Tor anonymitet på nätet.
Den lapp, som Mozilla släppte på onsdagen, adresser till Firefox animation fjärrkörning av kod fel som på tisdagen upptäcktes att ha varit aktivt utnyttjas så att de-anonymisera Tor Browser användare.
Attacken förlitat sig på Firefox eller Firefox-baserade Tor Browser för att ladda en webbsida som innehöll skadlig JavaScript och scalable vector graphics (SVG) – kod. Utnyttja var utformad för att skopa upp den verkliga IP-och MAC-adressen i Windows-system och skicka det till en central server, Mozilla säkerhet leda, Daniel Veditz sagt.
Nyttolasten fungerar bara mot Windows-system som kör Firefox och Tor Browser, även om Veditz noterat att det finns ett säkerhetsproblem på Firefox för macOS och Linux, så han uppmanade användarna av dessa plattformar för att uppdatera sina webbläsare.
Frågan, som Mozilla priser som kritiska för Firefox, är fast i Firefox version 50.0.2, och Firefox Extended Support-versionen 45.5.1, enligt Mozilla: s kommentarer till utgåvan. Felet påverkade även Mozillas Thunderbird e-mail-klient och är fast i version 45.5.1.
Tor-Projektet gav samma råd i ett inlägg som uppmanar användare att uppdatera till Tor Browser 6.0.7, som också innehåller en uppdatering till the NoScript JavaScript-blockerare.
“Säkerhetsbrist som är ansvariga för detta brådskande release redan aktivt utnyttjas på Windows-system. Även om det för närvarande är, att det bästa vi vet, inga liknande utnyttjar för OS X eller Linux-användare som finns i den underliggande felet gäller dessa plattformar. Därför rekommenderar vi starkt att alla användare har installerat uppdateringen till deras Tor Browser omedelbart.”
Veditz sade Mozilla lämnades utnyttja koden tidigt på tisdag, ett par timmar innan det publicerades på Pastebin, där det hade cirka 900 utsikt. En halvtimme efter att den dykt upp på Pastebin, det var skrivet av någon i ett meddelande på Tor-Projektet E-postlista.
Som säkerhet forskare konstaterade i går, utnyttja koden för denna attack var nästan identisk med en exploit kända för att ha använts av FBI under 2013 för att avslöja IP-adresser av Tor-användare som hade varit på besök en dold hosting barn-missbruk material.
Utnyttja berör Mozilla: s senaste begäran att få veta om de brottsbekämpande använda en zero-day fel i Firefox under en utredning, så att det kan patch frågan och skydda Firefox-användare.
Veditz sade Mozilla visste inte om FBI eller någon annan statlig myndighet hade skapat denna bedrift.
Men han betonade att det var i huvudsak samma metod som FBI nyligen beskrivits i stämningsansökan beskriver ett “nätverk undersökande teknik” den hade använts för att de-anonymisera Tor-användare under en 2015 utredning av en dold pedofil hemsida som heter Lekhage. Undersökningen syftade till att avslöja besökarnas verkliga IP-adress, identitet och plats.
Mot FBI: s önskemål, domaren över ett mål mot en Lekhage svaranden förpliktas organ avslöja att svarandens juridiska team exakt hur det hackat hans dator. Som Moderkort rapporterade i veckan att en domare i ett relaterat fall avslöjas i ett tingsrätten i November att FBI hade använt en “icke-offentligt känd sårbarhet”.
Med tanke på att Tor Browser delar vissa Firefox-kod, det finns misstanke om att denna icke-offentligt känd sårbarhet i själva verket är en zero-day brist som påverkar Firefox.
I Maj, Mozilla in en “vän av den domstol som är” kort i Lekhage svaranden är fallet, begär att FBI berätta Mozilla innan någon annan om sin kod är inblandad i ett säkerhetsproblem. Detta skulle ge en möjlighet att fixa en bugg om det är delat bortom FBI: s inledande undersökningen.
Denna senaste utnyttja, om den har tagits fram av regeringen, illustrerar problemet med brottsbekämpning med hjälp av zero-day exploits, konstaterade Veditz.
“Om denna bedrift var i själva verket utvecklas och används av en myndighet, det faktum att den har publicerats och kan nu användas av vem som helst för att attackera Firefox-användare är en tydlig demonstration av hur förmodligen begränsad regeringen dataintrång kan bli ett hot mot den bredare webben”, sade han.