De lading werkt alleen op Windows systemen met Firefox en de Tor Browser, hoewel de kwetsbaarheid bestaat ook op de Firefox voor mac os en Linux.
Afbeelding: Mozilla
Mozilla-en Tor heeft patches uitgebracht voor Firefox en de Firefox-gebaseerd Tor Browser te blokkeren, een live aanval gericht op het ontmaskeren van de gebruikers van de Tor anonimiteit netwerk.
De patch, die Mozilla uitgegeven op woensdag, adressen een Firefox-animatie tot uitvoering van externe code fout die op dinsdag werd ontdekt, werd actief misbruikt te de-anonimiseren Tor Browser gebruikers.
De aanval gebruikt op Firefox of de Firefox-gebaseerd Tor-Browser voor het laden van een webpagina die kwaadaardige JavaScript-en scalable vector graphics (SVG) – code. De exploit werd ontworpen voor het opscheppen van het echte IP-adres en MAC-adres van de Windows-systemen en stuur het naar een centrale server, Mozilla security leiden, Daniel Veditz zei.
De lading werkt alleen op Windows systemen met Firefox en de Tor Browser, hoewel Veditz gewezen op de kwetsbaarheid op de Firefox voor mac os en Linux, zodat hij drong er bij de gebruikers van deze platforms tot een update van hun browser.
De kwestie, die Mozilla tarieven als cruciaal voor Firefox, is opgelost in Firefox versie 50.0.2, en Firefox Extended Support Release versie 45.5.1, volgens Mozilla ‘ s release notes. De bug ook beïnvloed Mozilla ‘ s Thunderbird e-mail client en is opgelost in versie 45.5.1.
Het Tor Project bood hetzelfde advies in een post spoort gebruikers aan de update naar Tor Browser 6.0.7, die bevat ook een update voor de NoScript-JavaScript-blokker.
“De lek verantwoordelijk voor deze urgente release is al actief misbruikt op Windows-systemen. Ook al is er op dit moment, het beste van onze kennis, geen vergelijkbare exploiteren voor OS X of Linux-gebruikers beschikbaar is, wordt de onderliggende fout van invloed op die platformen. Dus wij raden alle gebruikers aan de update toe te passen om hun Tor Browser onmiddellijk.”
Veditz zei Mozilla was op voorwaarde dat de exploit code vroeg op dinsdag, een paar uur voordat het werd gepubliceerd op Pastebin, had waar het over 900 uitzicht. Een Half uur na het verschenen op Pastebin, het werd geplaatst door iemand in een bericht op het Tor Project Mailing list.
Als security onderzoekers merkten gisteren, de exploit code voor deze aanval was bijna identiek aan een exploit bekend te zijn gebruikt door de FBI in 2013 voor het ontmaskeren van de IP-adressen van de Tor-gebruikers die reeds een bezoek aan een verborgen service hosting van kindermisbruik materiaal.
De exploit raakt op Mozilla ‘ s recente verzoek om te worden verteld als handhaving van de wet het gebruik van een zero-day beveiligingslek in Firefox tijdens een onderzoek, zodat het kan de patch het probleem en bescherming van gebruikers van Firefox.
Veditz zei Mozilla wist niet of de FBI of een andere overheidsinstelling had gemaakt deze te exploiteren.
Maar hij benadrukt dat het in wezen dezelfde methode die de FBI onlangs beschreven in het gerechtelijke dossier waarin een “netwerk van onderzoeks-techniek” had gebruikt om te de-anonimiseren Tor gebruikers tijdens 2015 een onderzoek naar een verborgen pedofiel website genaamd Box. Het onderzoek gericht op het ontdekken van de bezoekers’ echte IP-adres, de identiteit en de locatie.
Tegen de FBI de wensen van de rechter voorzitten van een zaak tegen een Box verweerder besteld het agentschap te openbaren aan de verdachte de juridische team van hoe het precies gehackt zijn computer. Als Moederbord gemeld deze week, een rechter in een verwante zaak geopenbaard in een hof indienen in November dat de FBI had een “niet-openbaar bekende kwetsbaarheid”.
Gezien het feit dat de Tor Browser aandelen sommige Firefox-code, wordt vermoed dat deze niet openbaar bekend kwetsbaarheid is in feite een zero-day lek van invloed is Firefox.
In Mei, Mozilla diende een ‘vriend van het hof’ kort in de Box verweerder geval is, vragen dat de FBI vertellen Mozilla voordat iemand anders de code is betrokken in een kwetsbaarheid in de beveiliging. Deze openbaring zou geven het een kans om een fout te repareren als het wordt gedeeld buiten de FBI eerste onderzoek doeleinden.
Dit laatste exploiteren, als het werd ontwikkeld door de overheid, illustreert het probleem met handhaving van de wet het gebruik van zero-day exploits, merkte Veditz.
“Als deze exploit is in feite ontwikkeld en geïmplementeerd door een overheidsinstelling, het feit dat het is gepubliceerd en kan nu door iedereen worden gebruikt om aanvallen van de Firefox-gebruikers is een duidelijk voorbeeld van hoe het zogenaamd beperkt de overheid hacken kan een bedreiging worden voor de bredere web,” zei hij.