Luka dnia zerowego w przeglądarkach Firefox i Tor

Wejście na odpowiednio spreparowana stronę wystarczy, by zarazić komputer.

Kilka godzin temu w Internecie pojawiła się informacja o potencjalnie bardzo niebezpiecznej luce w przeglądarkach Firefox (wersje 41 do 50) oraz aktualnej wersji przeglądarki Tor (opartej na Firefoksie 45 ESR). Exploit działa na systemach Windows i według badaczy jego skuteczność jest bardzo wysoka, na tyle, że polecają oni używanie przeglądarki Chrome, Safari lub innej nieopartej na jądrze Firefoksa do czasu gdy deweloperzy opracują łatkę.

Luka pozwala na zdalne wykonanie kodu na zainfekowanej maszynie. Exploit jest obecnie dostępny dla każdego chętnego hakera i aktualnie brak możliwości by się przed nim zabezpieczyć (innej niż skorzystanie z alternatywnej przeglądarki).

Aktualna wersja exploita wysyła z zainfekowanego komputera raport do serwera o IP należącym do sieci dostawcy hostingowego OVH we Francji. Eksperci przewidują jednak, że wkrótce mogą pojawić się nowe odmiany zagrożenia zarażające komputery oprogramowaniem typu malware lub ransomware (wymagającym uiszczenia opłaty w celu odblokowania/odszyfrowania danych).

Do zarażenia dochodzi przez wejście na odpowiednio przygotowaną stronę zawierającą exploit. Sam exploit jest kodem napisanym w JavaScript.

Został on opublikowany na forum dotyczącym przeglądarki Tor. Ekspert Dan Guido zamieścił na Twitterze dość obszerne wyjaśnienie działania exploita.

There’s a bunch of misinformation about the new Firefox exploit so I’d like to clear a few things up. https://t.co/b3Ua4AyiOw

— Dan Guido (@dguido) 30 listopada 2016

Użytkownik @TheWackOlian zauważył, że kod wykonywany przez skrypt jest podobny do tego, którego w 2013 roku używało FBI do namierzenia osób odwiedzających w przeglądarce Tor strony z dziecięcą pornografią. Strony zawierające pornografię zostały wówczas zainfekowane przez FBI kodem, który wysyłał do przygotowanej przez federalnych skrytki dane dotyczące prawdziwego adresu IP, adresu MAC i nazwy komputera odwiedzającego.

Serwer do którego odwołuje się kod exploita (hostowany przez francuskie OVH) obecnie nie odpowiada na zapytania.

0
Źródło: Wordfence
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.