Mozilla diffuse une mise à jour de Firefox (50.0.2) afin de corriger une vulnérabilité de sécurité qui est activement exploitée pour désanonymiser des utilisateurs de Tor Browser. Servant à naviguer sur le réseau d'anonymisation Tor, Tor Browser est en effet basé sur une version modifiée de Firefox ESR (Extended Support Release).
L'exploit en question permet à un attaquant d'exécuter du code arbitraire sur une machine cible lorsque celle-ci charge une page avec du contenu SVG (traitement d'images vectorielles) et du code JavaScript malveillant. L'exploit est capable d'envoyer les adresses IP et MAC de sa cible à un serveur contrôlé par un attaquant.
Selon Mozilla, l'exploit ne serait fonctionnel que sur Windows. Il n'existerait actuellement pas sur macOS et Linux. Le projet Tor - qui parle d'une urgence - demande aux utilisateurs d'appliquer immédiatement la mise à jour 6.0.7 de Tor Browser qui comprend une version amendée de Firefox ESR, en plus d'une mise à jour de NoScript. Cette extension permet de bloquer l'exécution de JavaScript pour des sites.
Référencée CVE-2016-9079, la vulnérabilité critique aurait été présente dans le code du navigateur pendant cinq ans. Plusieurs experts en sécurité informatique estiment qu'elle est très proche d'une vulnérabilité 0-day qui avait été exploitée par le FBI afin d'identifier des utilisateurs partageant des contenus pédopornographiques via un site caché sur Tor. L'affaire Playpen.
Pour ce genre d'exploit, le FBI fait généralement allusion à un dispositif d'intrusion qualifié de NIT pour Network Investigation Technique. Dans le cas présent, il est toutefois peu probable que le bureau d'enquête américain soit derrière les attaques.
L'exploit découvert mardi a fait l'objet d'une analyse par ingénierie inverse. Il appelle via le port 80 un serveur dont l'adresse IP est localisée en France mais qui ne répond désormais plus.
À noter également que le client de messagerie Thunderbird a aussi droit à une mise à jour correctrice.
