Actualités Logiciel Logiciel

Urgence Firefox et Tor Browser pour un exploit 0-day

Le jeudi 01 Décembre 2016 à 14:30 par Jérôme G. | 2 commentaire(s)

Découverte d'un exploit pour désanonymiser les utilisateurs du navigateur Tor Browser et tirant parti d'une vulnérabilité critique dans Firefox.

Mozilla diffuse une mise à jour de Firefox (50.0.2) afin de corriger une vulnérabilité de sécurité qui est activement exploitée pour désanonymiser des utilisateurs de Tor Browser. Servant à naviguer sur le réseau d'anonymisation Tor, Tor Browser est en effet basé sur une version modifiée de Firefox ESR (Extended Support Release).

L'exploit en question permet à un attaquant d'exécuter du code arbitraire sur une machine cible lorsque celle-ci charge une page avec du contenu SVG (traitement d'images vectorielles) et du code JavaScript malveillant. L'exploit est capable d'envoyer les adresses IP et MAC de sa cible à un serveur contrôlé par un attaquant.

Selon Mozilla, l'exploit ne serait fonctionnel que sur Windows. Il n'existerait actuellement pas sur macOS et Linux. Le projet Tor - qui parle d'une urgence - demande aux utilisateurs d'appliquer immédiatement la mise à jour 6.0.7 de Tor Browser qui comprend une version amendée de Firefox ESR, en plus d'une mise à jour de NoScript. Cette extension permet de bloquer l'exécution de JavaScript pour des sites.

Tor-Browser

Référencée CVE-2016-9079, la vulnérabilité critique aurait été présente dans le code du navigateur pendant cinq ans. Plusieurs experts en sécurité informatique estiment qu'elle est très proche d'une vulnérabilité 0-day qui avait été exploitée par le FBI afin d'identifier des utilisateurs partageant des contenus pédopornographiques via un site caché sur Tor. L'affaire Playpen.

Pour ce genre d'exploit, le FBI fait généralement allusion à un dispositif d'intrusion qualifié de NIT pour Network Investigation Technique. Dans le cas présent, il est toutefois peu probable que le bureau d'enquête américain soit derrière les attaques.

L'exploit découvert mardi a fait l'objet d'une analyse par ingénierie inverse. Il appelle via le port 80 un serveur dont l'adresse IP est localisée en France mais qui ne répond désormais plus.

À noter également que le client de messagerie Thunderbird a aussi droit à une mise à jour correctrice.

Partager ce contenu :

Complément d'information

Firefox : une intégration native de Tor ?

Le réseau Tor pourrait être prochainement inclus dans le mode de navigation privée d'un navigateur Web. Firefox serait un tel candidat.
Le projet Tor ambitionne un fork de Firefox

Le projet Tor envisage de maintenir sa propre version de Firefox baptisée Tor Browser.

Vos commentaires

Trier par : date / pertinence

Anonyme

Le 01/12/2016 à 14:40 #1936646

"the exploit does not work unless you have both svg and javascript enabled.
The "high" setting of Tor Browser's security slider disables both of
these pieces of the browser."

(2 aiment, 0 n'aime pas)

-1 Répondre en citant Masquer

FRANCKYIV

Connecté VIP

49457 points
Premium

Inscrit le 02/10/2005
Suivre
Voir le profil
Message privéMP

Le 01/12/2016 à 14:46 #1936647

J'étais justement en train de mettre ma machine à jour ...

J'ai fais une sauvegarde image de sécurité, et la je paramétre/mets à jour les choses sensibles ... (avec firefox + tor browser du coup).

(1 aime, 0 n'aime pas)

Suivre les commentaires

Poster un commentaire