Разработчики Mozilla и члены Tor Project узнали о том, что в Firefox и Tor Browser присутствует уязвимость, при помощи которой на удаленный сервер могут быть переданы имя хоста, MAC-адрес пользователя, а также его публичный IP-адрес.

Информация об уязвимости появилась в рассылке Tor Project,  где неизвестный опубликовал небольшой пакет информации, состоящий из SVG, JavaScript и так далее. Чтобы скрыть свою личность, аноним воспользовался для слива эксплоита защищенным почтовым сервисом Sigaint, популярным в даркнете. В результате ничего кроме псевдонима FirstWatch о нем неизвестно.

«Этот JavaScript эксплоит уже сейчас активно используется против пользователей Tor браузера», — сообщил неизвестный. — «Он состоит из файла HTML и файла CSS, которые опубликованы ниже в деобфусцированном виде. Точная функциональность эксплоита неизвестна, но он получает доступ к VirtualAlloc в kernel32.dll и дальше работает оттуда. Пожалуйста, исправьте как можно скорее».

В течение часа после публикации эксплоита один из глав Tor Progect Роджер Динглдайн (Roger Dingledine) уведомил о происходящем Mozilla Security Team, и началась экстренная работа над патчем. Динглдайн заверил, что как только исправление будет готово, его сразу же включат в состав браузера Tor.

Анализ эксплоита уже произвели независимый исследователь TheWack0lian и глава Trail of Bits Дэн Гвидо (Dan Guido). Как оказалось, сконфигурированный определенным образом файл SVG может вызвать срабатывание UAF (use-after-free) уязвимости, связанной с тем, как парсер Firefox обрабатывает SVG-изображения. В результате, происходит слив данных о пользовательской машине на удаленный сервер. Исследователи обнаружили, что информация об имени хоста, MAC-адрес пользователя, а также его публичный IP-адрес отправлялись на 80 порт сервера 5.39.27.226, который вскоре после публикации данных о проблеме ушел в оффлайн. Судя по всему, это была виртуальная машина, хостившаяся у OVH. Исследователи отмечают, что практически такая же методика использовалась ФБР в 2013 году для деанонимизации пользователей.

Разработчики Mozilla сработали очень оперативно и уже устранили уязвимость в Firefox 50.0.1. Tor браузер так же обновился до версии 6.0.7, и его создатели отчитались об устранении проблемы.

 

2 комментария

  1. riot26

    30.11.2016 at 23:24

  2. emeliyanov

    12.12.2016 at 09:49

    В Торе со включенным JS сидят только самые отчаянные.

Оставить мнение

Check Also

В коде новой малвари для macOS найдены куски, датированные 1998 годом

Исследователи Malwarebytes обнаружили новую малварь для macOS, которая шпионит за биотехно…