Разработчики Mozilla и члены Tor Project узнали о том, что в Firefox и Tor Browser присутствует уязвимость, при помощи которой на удаленный сервер могут быть переданы имя хоста, MAC-адрес пользователя, а также его публичный IP-адрес.
Информация об уязвимости появилась в рассылке Tor Project, где неизвестный опубликовал небольшой пакет информации, состоящий из SVG, JavaScript и так далее. Чтобы скрыть свою личность, аноним воспользовался для слива эксплоита защищенным почтовым сервисом Sigaint, популярным в даркнете. В результате ничего кроме псевдонима FirstWatch о нем неизвестно.
«Этот JavaScript эксплоит уже сейчас активно используется против пользователей Tor браузера», — сообщил неизвестный. — «Он состоит из файла HTML и файла CSS, которые опубликованы ниже в деобфусцированном виде. Точная функциональность эксплоита неизвестна, но он получает доступ к VirtualAlloc в kernel32.dll и дальше работает оттуда. Пожалуйста, исправьте как можно скорее».
В течение часа после публикации эксплоита один из глав Tor Progect Роджер Динглдайн (Roger Dingledine) уведомил о происходящем Mozilla Security Team, и началась экстренная работа над патчем. Динглдайн заверил, что как только исправление будет готово, его сразу же включат в состав браузера Tor.
Анализ эксплоита уже произвели независимый исследователь TheWack0lian и глава Trail of Bits Дэн Гвидо (Dan Guido). Как оказалось, сконфигурированный определенным образом файл SVG может вызвать срабатывание UAF (use-after-free) уязвимости, связанной с тем, как парсер Firefox обрабатывает SVG-изображения. В результате, происходит слив данных о пользовательской машине на удаленный сервер. Исследователи обнаружили, что информация об имени хоста, MAC-адрес пользователя, а также его публичный IP-адрес отправлялись на 80 порт сервера 5.39.27.226, который вскоре после публикации данных о проблеме ушел в оффлайн. Судя по всему, это была виртуальная машина, хостившаяся у OVH. Исследователи отмечают, что практически такая же методика использовалась ФБР в 2013 году для деанонимизации пользователей.
Connects to: 5.39.27.226, port 80 (seems to be down right now?)
— slipstream/RoL (@TheWack0lian) November 29, 2016
First off, it's a garden variety use-after-free, not a heap overflow, and it affects the SVG parser Firefox.
— Dan Guido (@dguido) November 30, 2016
As far as exploit techniques, this is a routine UAF that heap sprays a controlled object to kick off a ROP chain. Pwn2Own 2012-level tech.
— Dan Guido (@dguido) November 30, 2016
Разработчики Mozilla сработали очень оперативно и уже устранили уязвимость в Firefox 50.0.1. Tor браузер так же обновился до версии 6.0.7, и его создатели отчитались об устранении проблемы.
