Nyttelasten kun virker mod Windows-systemer, der kører Firefox og Tor Browser, selvom sårbarheden findes også på Firefox til mac os og Linux.
Billede: Mozilla
Mozilla og Tor har frigivet patches til Firefox og Firefox-baseret Tor Browser til at blokere for en live-angreb med henblik på demaskering brugere af Tor anonymitet netværk.
Den patch, som Mozilla udgivet onsdag, adresser en Firefox animation fjernkørsel af programkode fejl, der tirsdag blev fundet at have været aktivt udnyttet til at de-anonymisere Tor Browser brugere.
Angrebet påberåbt sig, Firefox eller Firefox-baseret Tor Browser til at indlæse en webside, der indeholdt skadelig JavaScript og skalerbar vektorgrafik (SVG) kode. Den udnyttelse, der var designet til at øse op på den rigtige IP-adresse og MAC-adresse i Windows-systemer og sende den til en central server, Mozilla ‘ s sikkerhed føre, Daniel Veditz sagde.
Nyttelasten kun virker mod Windows-systemer, der kører Firefox og Tor Browser, selv om Veditz bemærkes, sårbarhed på Firefox til macOS og Linux, så han opfordrede brugerne af disse platforme til at opdatere deres browser for.
Spørgsmålet, som Mozilla satser, som er kritiske for Firefox, der er fastsat i Firefox version 50.0.2, og Firefox Extended Support Release version 45.5.1, ifølge Mozilla ‘ s release notes. Fejlen påvirkede også Mozilla ‘ s Thunderbird e-mail-klient, og er rettet i version 45.5.1.
Tor-Projektet, der tilbydes den samme rådgivning i et indlæg opfordrer brugere til at opdatere til Tor Browser 6.0.7, som også indeholder en opdatering til NoScript JavaScript blocker.
“Det sikkerhedshul, der er ansvarlig for denne nødvendige version er allerede aktivt udnyttet på Windows-systemer. Selvom der er i i øjeblikket er, at de bedste af vores viden, ingen lignende udnytte til OS X eller Linux-brugere findes, de underliggende fejl påvirker disse platforme. Således vi stærkt anbefale, at alle brugerne anvender opdateringen til deres Tor Browser med det samme.”
Veditz sagde Mozilla blev leveret udnytte kode tidligt tirsdag, et par timer før det blev offentliggjort på Pastebin, hvor den var omkring 900 udsigt. En halv time efter det dukkede op på Pastebin, det blev udgivet af en person i en besked på Tor-Projektets Postlister.
Som sikkerhed forskere bemærkede i går, exploit-kode til dette angreb var næsten identisk med en udnyttelse kendt for at have været brugt af FBI i 2013 til at afdække IP-adresser af Tor-brugere, der havde været på besøg hos en skjult service hosting barn-misbrug materiale.
Den udnyttelse, der rører på Mozilla ‘ s nylige anmodning om at få at vide, hvis retshåndhævende bruge en nul-dag, fejl i Firefox under en undersøgelse, således at det kan lappe spørgsmål og beskytte Firefox-brugere.
Veditz sagde, at Mozilla ikke vide, om FBI eller nogen anden offentlig myndighed havde skabt denne exploit.
Men han understregede, at det var stort set den samme metode, at FBI for nylig beskrevet i retten ansøgninger beskriver et “netværk for undersøgende teknik” det var, der bruges til at de-anonymisere Tor-brugere i løbet af en 2015 undersøgelse af en skjult pædofil hjemmeside kaldet Kravlegård. Undersøgelsen havde til formål at afsløre for de besøgende sande IP-adresse, identitet og placering.
Mod FBI ‘s ønsker, dommeren over en sag mod en Kravlegård sagsøgte bestilte agenturet afsløre, at sagsøgte’ s juridiske team præcis, hvordan det hacket sin computer. Som Bundkort, rapporterede i denne uge, en dommer i en lignende sag, som er åbenbaret i en domstol ansøgning i November, at FBI havde brugt en “ikke-offentligt kendt sårbarhed”.
I betragtning af, at Tor Browser deler nogle Firefox kode, der er mistanke om, at dette ikke er offentligt kendt sårbarhed er i virkeligheden en zero-day fejl, der påvirker Firefox.
I Maj, Mozilla gemt en ‘ven af retten’ korte i Kravlegård sagsøgtes tilfælde, anmode om, at FBI fortæller Mozilla, før nogen anden, hvis dens kode er impliceret i en sikkerhedsbrist. Denne oplysning ville give det en mulighed for at udbedre en fejl, hvis det er delt ud over FBI ‘ s oprindelige undersøgelse formål.
Denne seneste udnytte, hvis det blev udviklet af regeringen, illustrerer problemet med retshåndhævende brugen af zero-day exploits, bemærkede Veditz.
“Hvis denne udnyttelse blev faktisk udviklet og implementeret af et statsligt organ, det faktum, at det er blevet offentliggjort, og kan nu bruges af alle til at angribe Firefox-brugere er en klar demonstration af, hvordan angiveligt begrænset regering hacking kan blive en trussel mod den bredere web,” sagde han.