Mozilla corrige bug zero-day do Firefox usado para atacar usuários do Tor

Software jornalístico-Navegador Tor O navegador Tor é a ferramenta de privacidade mais amplamente utilizada para navegar na Internet de forma anônima. O Projeto Tor construiu a rede parcialmente com código aberto semelhante a uma versão antiga do Firefox. Explorar uma vulnerabilidade nessa versão do Firefox e você desmascara os usuários anônimos do Tor. Foi isso que aconteceu com o popular navegador da Mozilla esta semana, e a organização foi rápida em lançar uma atualização que corrige a vulnerabilidade zero-day.

Uma lista de discussão pública do Projeto Tor revelou o bug que levou a Mozilla a atualizar o Firefox para a versão 50.0.2. A equipe do Projeto Tor também emitiu correções para o navegador Tor que agora o atualiza para a versão 6.0.7. Embora o Projeto Tor acredite que a vulnerabilidade tenha afetado apenas os usuários do Windows, também é possível que o bug tenha atingido usuários do macOS e Linux.

A vulnerabilidade zero-day também afetou o aplicativo de e-mail Thunderbird da Mozilla e a versão de Suporte Estendido do Firefox. Daniel Veditz, líder da equipe de segurança da Mozilla, escreveu em um post no blog:

O exploit aproveitou um bug no Firefox para permitir que o atacante executasse código arbitrário no sistema alvo, fazendo com que a vítima carregasse uma página da web contendo código JavaScript e SVG malicioso. Ele usou essa capacidade para coletar o endereço IP e MAC do sistema alvo e reportá-los de volta a um servidor central.

Uma ameaça séria

Se um atacante puder atrair um usuário para visitar um conteúdo web malicioso, é possível executar remotamente código arbitrário no sistema aproveitando-se da vulnerabilidade.

Especialistas em segurança acreditam que o exploit é semelhante a uma falha do Firefox que o FBI usou em 2003 para identificar visitantes de um site de abuso infantil. Veditz escreveu que a ameaça agora representa um sério risco à privacidade se uma agência governamental realmente a criou.