Il payload funziona solo contro i sistemi Windows in esecuzione Firefox e il Browser Tor, anche se la vulnerabilità è presente anche in Firefox per macOS e Linux.
Immagine: Mozilla
Mozilla e del Tor hanno rilasciato patch per Firefox e Firefox, basata su Tor Browser per bloccare un live attacco volto a smascherare gli utenti della rete Tor.
La patch, che Mozilla ha rilasciato mercoledì, gli indirizzi di Firefox animazione esecuzione remota di codice difetto che martedì è stato scoperto di essere stata sfruttata per de-anonimizzare Tor Browser degli utenti.
L’attacco invocata Firefox o Firefox, basata su Tor Browser per caricare una pagina web che conteneva JavaScript dannoso e scalable vector graphics (SVG) codice. L’exploit è stato progettato per raccogliere il reale IP e l’indirizzo MAC di sistemi Windows e inviarlo a un server centrale, Mozilla security piombo, Daniel Veditz detto.
Il payload funziona solo contro i sistemi Windows in esecuzione Firefox e il Browser Tor, anche se Veditz notato la vulnerabilità è presente in Firefox per macOS e Linux, così ha esortato gli utenti di queste piattaforme per aggiornare il loro browser.
Il problema, che Mozilla tassi di critica per Firefox, è fissato in Firefox versione 50.0.2, e Firefox Extended Support Release versione 45.5.1, secondo Mozilla note di rilascio. Il bug colpito anche Mozilla Thunderbird client di posta elettronica ed è stato risolto nella versione 45.5.1.
Il Progetto Tor offerto lo stesso consiglio in un post invitando gli utenti ad aggiornare a Tor Browser 6.0.7, che contiene anche un aggiornamento per il NoScript JavaScript bloccante.
“La falla di sicurezza è responsabile per questo urgente rilascio è già attivamente sfruttata su sistemi Windows. Anche se attualmente non c’è, al meglio della nostra conoscenza, non esiste una simile exploit per OS X o Linux, gli utenti disponibili, il bug influisce su tali piattaforme. Quindi, si consiglia vivamente a tutti gli utenti di applicare l’aggiornamento per il Tor Browser immediatamente.”
Veditz detto Mozilla è stato fornito il codice di exploit presto il martedì, poche ore prima è stato pubblicato su Pastebin, dove aveva circa 900 punti di vista. Mezz’ora dopo, apparve su Pastebin, è stato postato da qualcuno in un messaggio del Progetto Tor Mailing list.
Come i ricercatori di sicurezza notato ieri, il codice di exploit di questo attacco era quasi identico a un exploit noto per essere stato usato dall’FBI nel 2013 per smascherare gli indirizzi IP di Tor utenti che hanno visitato una nascosta di un servizio di hosting di abuso sui minori il materiale.
L’exploit tocca Mozilla recente richiesta di essere detto che se legge un giorno zero falla in Firefox nel corso di un’indagine, in modo che possa patch il problema e proteggere gli utenti di Firefox.
Veditz detto Mozilla non so se l’FBI o di qualsiasi altra agenzia governativa aveva creato questo exploit.
Tuttavia, egli ha sottolineato che era essenzialmente lo stesso metodo che l’FBI ha recentemente descritto nella documentazione processuale dettagli di una “rete tecnica d’indagine” che è stato utilizzato per de-anonimizzare gli utenti di Tor, durante un 2015 indagine nascosto pedofilo sito web chiamato Box. L’indagine, finalizzata a rivelare i visitatori’ vero indirizzo IP, l’identità e la posizione.
Contro l’FBI, i desideri, il giudice che presiede un caso contro un Box convenuto ordinato l’agenzia rivelare al convenuto team legale esattamente come è violato il suo computer. Come scheda Madre ha riferito questa settimana, un giudice in un caso relativo rivelato in un deposito corte nel mese di novembre che l’FBI aveva usato un “non pubblicamente noto vulnerabilità”.
Dato che il Tor Browser condivide alcune Firefox codice, si sospetta che questo non pubblicamente noto vulnerabilità è infatti uno zero-day difetto che colpisce Firefox.
In Maggio, Mozilla ha depositato un ‘amico della corte” breve nel Box convenuto caso, la richiesta che l’FBI dire Mozilla prima di chiunque altro se il suo codice è implicato in una vulnerabilità di sicurezza. Questa rivelazione avrebbe dato un’opportunità per correggere un bug se è condiviso al di là dell’FBI iniziale scopi di indagine.
Questa ultima trovata, se esso è stato sviluppato dal governo, illustra il problema con le forze dell’ordine utilizzando exploit zero-day, ha osservato Veditz.
“Se questo exploit è stato, infatti, sviluppato e distribuito da un’agenzia governativa, il fatto che sia stato pubblicato e può essere utilizzato da chiunque per attaccare gli utenti di Firefox è una chiara dimostrazione di come, presumibilmente, il governo limitato di hacking può diventare una minaccia per la più ampia web,” ha detto.