前言

2016年11月30日 Tor、FireFox發(fā)布公告修復了一個同時影響Windows、Mac OS X用戶的惡意代碼執(zhí)行0day漏洞，受害者包括Tor的使用者和Firefox瀏覽器的部分用戶。

有消息稱本次修復的漏洞可能跟2013年的一起FBI發(fā)起的針對TOR用戶的攻擊事件有關(guān)，詳情參考：

http://arstechnica.com/security/2013/08/attackers-wield-firefox-exploit-to-uncloak-anonymous-tor-users/

FireFox發(fā)布安全補丁公告：

https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/

Tor發(fā)布安全補丁公告：

https://blog.torproject.org/blog/tor-browser-607-released

Tor的官方網(wǎng)站上最先發(fā)布了有關(guān)這個未知的Firefox漏洞的信息，信息中包括幾百行JavaScript。另外還有一個警告：這是一個JavaScript利用，現(xiàn)在常被用來針對Tor瀏覽器。Tor創(chuàng)始人Roger Dingledine很快證實了這個未知漏洞存在，并表示來自Mozilla的工程師正在嘗試修復。

攻擊者使用Firefox的漏洞揭露Tor的匿名用戶

負責分析代碼的安全研究人員表示，這些代碼利用了一個內(nèi)存腐敗漏洞，從而允許惡意代碼在Windows電腦上執(zhí)行。早在2013年，聯(lián)邦調(diào)查局曾經(jīng)利用一家隱藏在Tor中兒童色情網(wǎng)站，辨認瀏覽過網(wǎng)站的匿名用戶的身份。

來著Twitter 名為@TheWack0lian的獨立研究員認為，當時傳遞的惡意負載與這次幾乎完全相同。當時FBI承認，這個利用被嵌入在一個名為Freedom Hosting的服務的Web頁面中。它使用的載荷和2013年的那些幾乎完全相同，被利用的漏洞執(zhí)行的代碼也和2013年Tor瀏覽器利用中的那些非常相似。大部分的代碼是相同的，只改變了一小部分。”

2013年的那次攻擊向服務器發(fā)送了一個惟一的標識符，服務器的IP地址為65.222.202.54，而在最新的這次攻擊中，數(shù)據(jù)被發(fā)送到了IP地址為5.39.27.226的服務器。后一個IP地址分配給了法國Web主機OVH。

另一個分析過代碼的研究員Joshua Yabut告訴Ars，代碼利用了堆溢出漏洞，需要在易受攻擊的電腦上激活JavaScript。它在Windows系統(tǒng)上進行遠程代碼執(zhí)行是100%有效的。負載的內(nèi)存單元的調(diào)整取決于被利用Firefox的版本。版本范圍從41到50，而45 ESR是最新的Tor瀏覽器所使用的版本。這些調(diào)整表明，攻擊者廣泛地進行攻擊測試，為的就是確保它在多個版本的Firefox上生效。這個利用能夠直接調(diào)用kernel32.dll——Windows操作系統(tǒng)的核心部分。

Mozilla的一名代表表示，工作人員已經(jīng)意識到這個漏洞的存在，正在試圖修復。這個漏洞已經(jīng)被廣泛利用了，在完整的源代碼被公布出來之后，會有更多人掌握它。在補丁出現(xiàn)之前，F(xiàn)irefox用戶應該盡可能地使用其它瀏覽器，或者至少應該在多數(shù)網(wǎng)站上禁用JavaScript。避免使用Tor ，去匿名化攻擊可能會構(gòu)成重大威脅。Tor用戶也可以禁用JavaScript，雖然關(guān)閉它違背了Tor的官方建議。

修復建議：

Firefox用戶請更新到如下版本：

Firefox 50.0.2

Firefox ESR 45.5.1

Thunderbird 45.5.1

Tor用戶請更新到如下版本：

Tor Browser 6.0.7

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。