Mozilla и Tor опубликовали обновления браузеров для устранения критической уязвимости Firefox, использовавшейся для деанонимизации пользователей (через ArsTechnica).
Инструмент конфиденциальности Tor основан на браузере Firefox с открытым исходным кодом, разработанном Mozilla, которая вчера получила копию ранее неизвестного кода атаки на основе JavaScript. Mozilla заявила в своем блоге, что уязвимость была исправлена в только что выпущенной версии Firefox для обычных пользователей.
Согласно сообщениям, уязвимость выполнения кода уже активно использовалась в системах Windows, однако в информационном бюллетене, опубликованном позже в среду, представители Tor предупредили, что пользователи Mac также уязвимы к той же атаке.
«Несмотря на то, что, насколько нам известно, в настоящее время нет аналогичных эксплойтов для пользователей OS X или Linux, лежащая в основе ошибка затрагивает и эти платформы. Поэтому мы настоятельно рекомендуем всем пользователям немедленно установить обновление для своего Tor Browser.»
Эксплойт способен отправлять IP- и MAC-адрес пользователя на сервер, контролируемый злоумышленником, и напоминает «сетевые следственные методы», ранее использовавшиеся правоохранительными органами для разоблачения пользователей Tor, что заставило некоторых представителей сообщества разработчиков предположить, что новый эксплойт был разработан ФБР или другим государственным агентством и каким-то образом просочился. Сотрудник отдела безопасности Mozilla Дэниел Ведитц воздержался от прямого указания на власти, но подчеркнул предполагаемые риски, связанные с попытками саботажа онлайн-конфиденциальности.
«Если этот эксплойт был фактически разработан и развернут государственным агентством, то тот факт, что он был опубликован и теперь может быть использован кем угодно для атак на пользователей Firefox, является наглядной демонстрацией того, как якобы ограниченные правительственные хакерские действия могут стать угрозой для всего Интернета.»
Код атаки на Firefox впервые появился во вторник в списке обсуждений Tor и был быстро подтвержден как эксплойт нулевого дня – термин, используемый для уязвимостей, которые активно используются в реальных условиях до того, как разработчик выпустит исправление.
Последнее обновление Tor, устраняющее уязвимость, – это версия 6.0.7, которую можно скачать здесь.
Пользователи стандартного Firefox могут скачать обновление для своего браузера вручную здесь.
