Mozilla和Firefox缺陷的问题修补窗口暴露
Mozilla和Tor项目已发出软件更新以阻止攻击者使用零天Firefox漏洞来识别Tor匿名Web浏览服务的用户。
Tor浏览器基于Mozilla Foundation开发的开源Firefox浏览器。
最新版本的Firefox浏览器是50.0.2,Tor浏览器已更新为6.0.7,并且使用TOR网络的TAILS OS(操作系统)已更新为2.7.1版。
虽然据信Firefox漏洞仅用于Windows用户,但是根据Neowin的说法理论上,理论上理论上可以针对Mac OS X和Linux用户使用。
Mozilla表示,Firefox的现有副本应该自动更新,但用户也可以手动下载更新版本。
在2016年11月29日,在2016年11月29日,在Mozilla提供了使用先前未知的漏洞,在Mozilla提供了漏洞利用的代码之后发布了更新。
该代码也发布在Tor讨论组中,这意味着高度可靠的利润迅速地变为数百万人。
该漏洞利用Firefox中的错误,以允许攻击者通过使受害者加载包含恶意JavaScript和SVG(可扩展向量图形)代码的网页来在目标系统上执行任意代码。
它使用此功能来收集目标系统的IP地址和MAC地址,并将其报告回中央服务器,Mozilla Security Lead Daniel Veditz在博客文章中写道。
“在本例中的漏洞利用基本上与FBI使用的”网络调查技术“与Deanymyify Tor用户一起工作(因为FBI在宣告中描述了它)。
“这种相似之处导致猜测该漏洞由联邦调查局或其他执法机构创建,”他说。
如果这是由政府机构开发和部署的事实,Veditz表示,它已被公布,现在可以被任何人使用,以攻击Firefox用户是清楚地证明,据说有限的政府黑客如何成为更广泛的威胁网。
鼓励Tor浏览器的用户将所有浏览软件更新到最新版本,并在更新后重新启动Tor浏览器。
根据最新版本的Firefox发行说明,底层漏洞被标识为CVE-2016-9079,并被评为至关重要。
一个单独的Mozilla安全咨询表明,缺陷也会影响Mozilla的Thunderbird电子邮件应用程序,以及Tor浏览器使用的Firefox扩展支持版本,报告ARS Technica。
用于讨论Firefox错误的在线论坛上的一个线程表示临界缺陷已存在于浏览器代码库中五年。
漏洞利用的新闻提出了令人担忧的是,它可能已被用于解锁的政治持不同政见者或无辜的用户的匿名服务。