Gli ingegneri di Mozilla hanno rilasciato la patch per un exploit 0-day che è stato usato per "deanonimizzare" gli utenti di Tor Browser. Gli ingegneri sia di Mozilla sia di Tor Browser sono venuti a conoscenza di questa vulnerabilità dopo che un utente anonimo ha postato online l'exploit code.
"Questo è un exploit Javascript usato ORA contro Tor Browser. Consiste in un file HTML e in un file CSS, entrambi riportati qua sotto e de-oscurati. L'esatta funzionalità è sconosciuta, ma riesce ad ottenere l'accesso a "Virtual Alloc" nel kernel32.dll e da lì parte. Vi prego di sistemare il problema" ha scritto l'utente anonimo.
Meno di un'ora dopo dalla pubblicazione del problema, uno dei leader del Tor Project ha avvisato i responsabili della sicurezza di Mozilla, che hanno immediatamente iniziato a lavorare per risolvere il problema. Il Team di Firefox ha rilasciato piuttosto velocemente la patch, assicurando che il passo successivo da compiere è l'update, nel più breve tempo possibile, del Tor Browser.
Quali sono le conseguenze dell'exploit?
L' exploit code è una combinazione di HTML, CSS e Javascript.
Ospitato su un sito web, quando vi si accede tramite Firefox o Tor, l'exploit code prova a creare un file SVG che prova a innescare una vulnerabilità use-after-free: il tutto al fine di eseguire l'exploit del parser SVG di Firefox al fine di sottrarre dettagli riguardo il computer e la connessione dell'utente.
Questi dati vengono quindi inviati ad un server remoto: tra i dati ci sono l'indirizzo IP, il Mac Address e l'hostname. L'indirizzo del server remoto era 5.39.27.226 sulla porta 80, ma attualmente è down.
Le patch
Mozilla ha rilasciato la patch con il rilascio della versione 50.0.2 di Firefox e la 45.5.1 ESR. Tor Project ha rilasciato la versione 6.0.7 per risolvere il problema dal proprio lato. Il problema non poteva che essere risolto da entrambe le parti, perchè, come è evidente, gli utenti del Tor Browser sono legati irreversibilmente agli strumenti di sicurezza forniti da Firefox.
Qui, ulteriori informazioni
https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/
Nessun commento:
Posta un commento