Firefox、Tor修复疑似FBI使用的0day代码执行漏洞

前言

2016年11月30日 Tor、FireFox发布公告修复了一个同时影响Windows、Mac OS X用户的恶意代码执行0day漏洞，受害者包括Tor的使用者和Firefox浏览器的部分用户。

有消息称本次修复的漏洞可能跟2013年的一起FBI发起的针对TOR用户的攻击事件有关，详情参考：

http://arstechnica.com/security/2013/08/attackers-wield-firefox-exploit-to-uncloak-anonymous-tor-users/

FireFox发布安全补丁公告：

https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/

Tor发布安全补丁公告：

https://blog.torproject.org/blog/tor-browser-607-released

Tor的官方网站上最先发布了有关这个未知的Firefox漏洞的信息，信息中包括几百行JavaScript。另外还有一个警告：这是一个JavaScript利用，现在常被用来针对Tor浏览器。Tor创始人Roger Dingledine很快证实了这个未知漏洞存在，并表示来自Mozilla的工程师正在尝试修复。

攻击者使用Firefox的漏洞揭露Tor的匿名用户

负责分析代码的安全研究人员表示，这些代码利用了一个内存腐败漏洞，从而允许恶意代码在Windows电脑上执行。早在2013年，联邦调查局曾经利用一家隐藏在Tor中儿童色情网站，辨认浏览过网站的匿名用户的身份。

来着Twitter 名为@TheWack0lian的独立研究员认为，当时传递的恶意负载与这次几乎完全相同。当时FBI承认，这个利用被嵌入在一个名为Freedom Hosting的服务的Web页面中。它使用的载荷和2013年的那些几乎完全相同，被利用的漏洞执行的代码也和2013年Tor浏览器利用中的那些非常相似。大部分的代码是相同的，只改变了一小部分。”

2013年的那次攻击向服务器发送了一个惟一的标识符，服务器的IP地址为65.222.202.54，而在最新的这次攻击中，数据被发送到了IP地址为5.39.27.226的服务器。后一个IP地址分配给了法国Web主机OVH。

另一个分析过代码的研究员Joshua Yabut告诉Ars，代码利用了堆溢出漏洞，需要在易受攻击的电脑上激活JavaScript。它在Windows系统上进行远程代码执行是100%有效的。负载的内存单元的调整取决于被利用Firefox的版本。版本范围从41到50，而45 ESR是最新的Tor浏览器所使用的版本。这些调整表明，攻击者广泛地进行攻击测试，为的就是确保它在多个版本的Firefox上生效。这个利用能够直接调用kernel32.dll——Windows操作系统的核心部分。

Mozilla的一名代表表示，工作人员已经意识到这个漏洞的存在，正在试图修复。这个漏洞已经被广泛利用了，在完整的源代码被公布出来之后，会有更多人掌握它。在补丁出现之前，Firefox用户应该尽可能地使用其它浏览器，或者至少应该在多数网站上禁用JavaScript。避免使用Tor ，去匿名化攻击可能会构成重大威胁。Tor用户也可以禁用JavaScript，虽然关闭它违背了Tor的官方建议。

修复建议：

Firefox用户请更新到如下版本：

Firefox 50.0.2

Firefox ESR 45.5.1

Thunderbird 45.5.1

Tor用户请更新到如下版本：

Tor Browser 6.0.7

生成海报

免责声明：本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时，应及时向本网站提出书面权利通知或不实情况说明，并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后，将会依法尽快联系相关文章源头核实，沟通删除相关内容或断开相关链接。