Специалисты Mozilla готовят патч, устраняющий уязвимость в браузере Firefox, которая в настоящее время эксплуатируется для деанонимизации пользователей Tor.
Администратор подпольного почтового сервиса Sigaint разместил в списке рассылки Tor JavaScript-эксплоит, использующий уязвимость повреждения памяти в Firefox для удаленного выполнения вредоносного кода на компьютерах под управлением Windows. При открытии в браузерах Firefox или Tor программа связывается с удаленным сервером и отправляет ряд данных, в том числе MAC-адрес пользователя, имя хоста и, возможно, IP-адрес.
По словам автора сообщения, точная функциональность эксплоита пока неизвестна, но, по всей видимости, программа эксплуатирует уязвимость в Firefox для прямых вызовов kernel32.dll, что позволяет выполнение вредоносного кода на компьютерах под управлением Windows.
Как показал предварительный анализ, эксплоит отправляет данные на адрес 5.39.27.226 (удаленный сервер, расположенный во Франции). На момент написания новости сервер уже прекратил отвечать на запросы подключения. Эксплоит подходит для атаки на Firefox начиная с выпуска 41 и заканчивая 50, а также на Tor Browser 6, основанный на ESR-ветке Firefox 45. В настоящее время исследование кода продолжается, но эксперты уже обратили внимание на сходство данного эксплоита с другим инструментом для деанонимизации пользователей Tor, появившимся в 2013 г. Последний был разработан ФБР США для идентификации пользователей Tor, посещавших сайты с детской порнографией. (Mozilla/NovostIT)