Mozilla исправила уязвимость нулевого дня в Firefox, использовавшуюся для атак на пользователей Tor

Журналистское программное обеспечение-Tor Browser Tor браузер является самым широко используемым инструментом конфиденциальности для анонимного просмотра Интернета. Проект Tor построил сеть частично на открытом исходном коде, похожем на старую версию Firefox. Используйте уязвимость в этой версии Firefox, и вы раскроете анонимных пользователей Tor. Именно это произошло с популярным браузером Mozilla на этой неделе, и организация быстро выпустила обновление, которое исправляет уязвимость нулевого дня.

Публичный список рассылки проекта Tor раскрыл ошибку, что побудило Mozilla обновить Firefox до версии 50.0.2. Команда проекта Tor также выпустила патчи для браузера Tor, который теперь обновлен до версии 6.0.7. Хотя проект Tor считает, что уязвимость затронула только пользователей Windows, также возможно, что ошибка затронула пользователей macOS и Linux.

Уязвимость нулевого дня также затронула почтовое приложение Mozilla Thunderbird и версию Firefox с расширенной поддержкой. Дэниел Ведитц, руководитель команды безопасности Mozilla, написал в блоге:

Эксплойт воспользовался ошибкой в Firefox, чтобы позволить злоумышленнику выполнять произвольный код на целевой системе, заставив жертву загрузить веб-страницу, содержащую вредоносный JavaScript и SVG код. Он использовал эту возможность для сбора IP и MAC адреса целевой системы и отправки их на центральный сервер.

Серьезная угроза

Если злоумышленник сможет заманить пользователя на посещение вредоносного веб-контента, возможно удаленное выполнение произвольного кода на системе, воспользовавшись уязвимостью.

Эксперты по безопасности считают, что эксплойт похож на уязвимость Firefox, которую ФБР использовало в 2003 году для идентификации посетителей сайта детской порнографии. Ведитц написал, что угроза теперь представляет собой серьезную опасность для конфиденциальности, если это действительно создала государственная структура.