产品咨询:4000 258 365
|
申请产品演示
|
前言
2016年11月30日 tor、firefox发布公告修复了一个同时影响windows、mac os x用户的恶意代码执行0day漏洞,受害者包括tor的使用者和firefox浏览器的部分用户。
有消息称本次修复的漏洞可能跟2013年的一起fbi发起的针对tor用户的攻击事件有关,详情参考:
http://arstechnica.com/security/2013/08/attackers-wield-firefox-exploit-to-uncloak-anonymous-tor-users/
firefox发布安全补丁公告:
https://www.mozilla.org/en-us/security/advisories/mfsa2016-92/
tor发布安全补丁公告:
https://blog.torproject.org/blog/tor-browser-607-released
tor的官方网站上最先发布了有关这个未知的firefox漏洞的信息,信息中包括几百行javascript。另外还有一个警告:这是一个javascript利用,现在常被用来针对tor浏览器。tor创始人roger dingledine很快证实了这个未知漏洞存在,并表示来自mozilla的工程师正在尝试修复。
攻击者使用firefox的漏洞揭露tor的匿名用户
负责分析代码的安全研究人员表示,这些代码利用了一个内存腐败漏洞,从而允许恶意代码在windows电脑上执行。早在2013年,联邦调查局曾经利用一家隐藏在tor中儿童色情网站,辨认浏览过网站的匿名用户的身份。
来着twitter 名为@thewack0lian的独立研究员认为,当时传递的恶意负载与这次几乎完全相同。当时fbi承认,这个利用被嵌入在一个名为freedom hosting的服务的web页面中。它使用的载荷和2013年的那些几乎完全相同,被利用的漏洞执行的代码也和2013年tor浏览器利用中的那些非常相似。大部分的代码是相同的,只改变了一小部分。”
2013年的那次攻击向服务器发送了一个惟一的标识符,服务器的ip地址为65.222.202.54,而在最新的这次攻击中,数据被发送到了ip地址为5.39.27.226的服务器。后一个ip地址分配给了法国web主机ovh。
另一个分析过代码的研究员joshua yabut告诉ars,代码利用了堆溢出漏洞,需要在易受攻击的电脑上激活javascript。它在windows系统上进行远程代码执行是100%有效的。负载的内存单元的调整取决于被利用firefox的版本。版本范围从41到50,而45 esr是最新的tor浏览器所使用的版本。这些调整表明,攻击者广泛地进行攻击测试,为的就是确保它在多个版本的firefox上生效。这个利用能够直接调用kernel32.dll——windows操作系统的核心部分。
mozilla的一名代表表示,工作人员已经意识到这个漏洞的存在,正在试图修复。这个漏洞已经被广泛利用了,在完整的源代码被公布出来之后,会有更多人掌握它。在补丁出现之前,firefox用户应该尽可能地使用其它浏览器,或者至少应该在多数网站上禁用javascript。避免使用tor ,去匿名化攻击可能会构成重大威胁。tor用户也可以禁用javascript,虽然关闭它违背了tor的官方建议。
修复建议:
firefox用户请更新到如下版本:
firefox 50.0.2
firefox esr 45.5.1
thunderbird 45.5.1
tor用户请更新到如下版本:
tor browser 6.0.7
-
试用申请
-
4000-258-365