Technologies expliquées simplement

Mozilla corrige un bug zero-day de Firefox utilisé pour attaquer les utilisateurs de Tor

Logiciel journalistique - Tor Browser Le navigateur Tor est l’outil de confidentialité le plus utilisé pour naviguer sur Internet de manière anonyme. Le projet Tor a construit le réseau en partie sur un code source ouvert similaire à une ancienne version de Firefox. Exploitez une vulnérabilité dans cette version de Firefox et vous démasquez les utilisateurs de Tor qui sont autrement anonymes. C’est ce qui est arrivé avec le navigateur populaire de Mozilla cette semaine, et l’organisation a rapidement déployé une mise à jour qui corrige la vulnérabilité zero-day.

Une liste de diffusion publique du projet Tor a révélé le bug qui a poussé Mozilla à mettre à jour Firefox vers la version 50.0.2. L’équipe du projet Tor a également publié des correctifs pour le navigateur Tor qui le fait passer à la version 6.0.7. Bien que le projet Tor pense que la vulnérabilité n’a affecté que les utilisateurs de Windows, il est également possible que le bug ait touché les utilisateurs de macOS et de Linux.

La vulnérabilité zero-day a également affecté l’application de messagerie Thunderbird de Mozilla et la version Extended Support de Firefox. Daniel Veditz, responsable de l’équipe de sécurité de Mozilla, a écrit dans un article de blog :

L’exploitation a profité d’un bug dans Firefox pour permettre à l’attaquant d’exécuter du code arbitraire sur le système ciblé en faisant charger à la victime une page web contenant du code JavaScript et SVG malveillant. Il a utilisé cette capacité pour collecter l’adresse IP et l’adresse MAC du système ciblé et les signaler à un serveur central.

Une menace sérieuse

Si un attaquant peut attirer un utilisateur à visiter un contenu web malveillant, il est possible d’exécuter à distance du code arbitraire sur le système en profitant de la vulnérabilité.

Les experts en sécurité estiment que l’exploitation est similaire à un défaut de Firefox que le FBI a utilisé en 2003 pour identifier les visiteurs d’un site d’abus d’enfants. Veditz a écrit que la menace représente désormais un danger sérieux pour la vie privée si une agence gouvernementale l’a effectivement construite.

Cette similarité a conduit à des spéculations selon lesquelles cette exploitation aurait été créée par le FBI ou une autre agence d’application de la loi.

Lire aussi :

  • 8 meilleurs logiciels journalistiques pour améliorer votre carrière de journaliste
  • 10 meilleurs outils VPN pour Windows 10

Contenu

  1. Une menace sérieuse
  2. Lire aussi :
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11