La charge ne fonctionne que contre les systèmes Windows lancement de Firefox et le Navigateur Tor, bien que la vulnérabilité existe aussi sur Firefox pour mac os et Linux.
Image: Mozilla
Mozilla et Tor ont publié des correctifs pour Firefox et Firefox basé sur Tor Navigateur pour bloquer un live d’attaque visant à démasquer les utilisateurs de Tor réseau d’anonymat.
Le patch, qui Mozilla a publié, mercredi, les adresses de Firefox animation exécution de code à distance faille qui, mardi, a été découvert à avoir été activement exploitée à la dé-anonymiser Tor Navigateur des utilisateurs.
L’attaque reposait sur Firefox ou Firefox basé sur Tor Navigateur de charger une page web que les contenus malveillants JavaScript et SVG (scalable vector graphics) du code. L’exploit a été conçu pour ramasser la vraie IP et l’adresse MAC de systèmes Windows et de les envoyer à un serveur central, Mozilla sécurité, Daniel Veditz dit.
La charge ne fonctionne que contre les systèmes Windows lancement de Firefox et le Navigateur Tor, bien que Veditz a noté la vulnérabilité existe sur Firefox pour mac os et Linux, il encourage donc les utilisateurs de ces plates-formes pour mettre à jour leur navigateur.
Le problème, Mozilla taux de critique pour Firefox, est corrigé dans la version de Firefox 50.0.2, et Firefox Extended Support Release version 45.5.1, selon Mozilla notes de mise à jour. Le bug aussi touchés de Mozilla Thunderbird, le client de messagerie et est corrigé dans la version 45.5.1.
Le Projet Tor a offert le même avis dans un post demandant aux utilisateurs de mettre à jour Navigateur Tor 6.0.7, qui contient également une mise à jour de la NoScript JavaScript bloquant.
“La faille de sécurité responsable de l’urgence de la libération est déjà activement exploitée sur les systèmes Windows. Même s’il est actuellement, à notre connaissance, aucune similaire exploiter pour OS X et Linux disponibles, le bogue affecte ces plates-formes. Ainsi, nous recommandons fortement à tous les utilisateurs d’appliquer la mise à jour de leur Navigateur Tor immédiatement.”
Veditz dit Mozilla a fourni le code de l’exploit mardi à l’aube, quelques heures avant qu’il a été publié sur Pastebin, où il y avait environ 900 points de vue. Une demi-heure après, il est apparu sur Pastebin, il a été posté par quelqu’un dans un message sur le Tor liste de Diffusion du Projet.
En tant que chercheurs en sécurité a noté, hier, la possibilité de code d’exploitation pour que cette attaque était presque identique à un exploit connu pour avoir été utilisé par le FBI en 2013 pour démasquer les adresses IP des utilisateurs de Tor qui avait rendu visite à un service caché d’hébergement de l’enfant-l’abus matériel.
L’exploit touche sur Mozilla récente demande à être informé si l’application de la loi un jour zéro défaut dans Firefox lors d’une enquête, de sorte qu’il peut patch de la question et de protéger les utilisateurs de Firefox.
Veditz dit Mozilla ne sais pas si le FBI ou de tout autre organisme du gouvernement avait créé cet exploit.
Toutefois, il a souligné que c’était essentiellement la même méthode que le FBI a récemment décrit dans les documents produits à la cour détaillant un “réseau technique d’enquête” qu’il avait utilisé pour dé-anonymiser les utilisateurs de Tor 2015 au cours d’une enquête sur un caché pédophile site web appelé Parc. L’enquête avait pour but de révéler des visiteurs véritable adresse IP, l’identité et l’emplacement.
Contre le FBI souhaite, le juge qui préside un procès contre un Parc défendeur ordonné à l’agence de révéler à la partie défenderesse de l’équipe juridique exactement comment il piraté son ordinateur. Comme carte Mère a rapporté cette semaine, un juge dans une affaire connexe a révélé dans un dépôt au tribunal en novembre que le FBI avait utilisé un “non-public de la vulnérabilité est connue”.
Étant donné que le Navigateur Tor actions certains le code de Firefox, il est présumé que cette non-public de vulnérabilité connue est en fait un ” jour zéro défaut affectant Firefox.
En Mai, Mozilla a déposé un “ami de la cour” bref dans le Parc du défendeur cas, en demandant que le FBI dire Mozilla avant que quelqu’un d’autre si son code est impliqué dans une faille de sécurité. Cette divulgation pourrait lui donner l’occasion de corriger un bug si elle est partagée au-delà du FBI initiale des fins d’enquête.
Cette dernière exploiter, si il a été développé par le gouvernement, illustre bien le problème avec l’application de la loi à l’aide de zero-day exploits, a noté Veditz.
“Si cet exploit a été en fait mis au point et déployé par une agence du gouvernement, le fait qu’il a été publié et peut maintenant être utilisé par quiconque pour attaquer les utilisateurs de Firefox est une démonstration claire de la façon dont soi-disant gouvernement limité de piratage peut devenir une menace pour le web en général,” dit-il.