Новая уязвимость в веб-браузере Tor/Firefox используется для установки вредоносного ПО на компьютеры пользователей. Одной из первых эта информация появилась в списке рассылки (mailing list) Tor Project. Для эксплуатации уязвимости эксплойт использует специальным образом сформированные файлы HTML и CSS. По информации известного security-ресерчера Dan Guido, уязвимость относится к типу use-after-free и затрагивает Scalable Vector Graphics (SVG) парсер Firefox.
Основатель Tor Project Roger Dingledine уведомил пользователей, что разработчики Firefox в курсе данной проблемы и работают над исправлением для уязвимости. Пользователям веб-браузера Tor рекомендуют отключить использование JavaScript до выхода соответствующего исправления.
Уязвимость может быть актуальна и для пользователей Tor/Firefox на OS X, однако, замеченный в использовании атакующими эксплойт актуален только для пользователей Windows. Так как веб-браузер Mozilla Firefox для пользователей Windows не содержит таких актуальных мер защиты от эксплойтов, как веб-браузеры Google Chrome и MS Edge, его пользователи не защищены от деструктивных действий 0day эксплойта.
Мы рекомендуем пользователям дождаться выпуска соответствующего обновления веб-браузера Tor и установить его.
Основатель Tor Project Roger Dingledine уведомил пользователей, что разработчики Firefox в курсе данной проблемы и работают над исправлением для уязвимости. Пользователям веб-браузера Tor рекомендуют отключить использование JavaScript до выхода соответствующего исправления.
Уязвимость может быть актуальна и для пользователей Tor/Firefox на OS X, однако, замеченный в использовании атакующими эксплойт актуален только для пользователей Windows. Так как веб-браузер Mozilla Firefox для пользователей Windows не содержит таких актуальных мер защиты от эксплойтов, как веб-браузеры Google Chrome и MS Edge, его пользователи не защищены от деструктивных действий 0day эксплойта.
Мы рекомендуем пользователям дождаться выпуска соответствующего обновления веб-браузера Tor и установить его.
Поделиться с друзьями
Комментарии (6)
interprise
06.12.2016 12:47Уязвимость может быть актуальна и для пользователей Tor/Firefox на OS X, интересно получается не актуально для linux или просто не написали?
CyclusVitalis
06.12.2016 12:47Видимо сегодня эту уязвимость закрыли в FireFox: https://www.mozilla.org/en-US/security/advisories/mfsa2016-92/
mark_blau
06.12.2016 12:47Tor Browser 6.0.7 — November 30
* All Platforms
* Update Firefox to 45.5.1esr
* Update NoScript to 2.9.5.2
AndreyRubankov
Если это парсер Firefox, то и в браузере Firefox есть проблема? Или на этот счет не известно ничего?
dartraiden
Естественно, ведь над исправлением «работают разработчики Firefox».
AndreyRubankov
Тогда странно, почему в заголовке и во всей статье говорится «Tor — не безопасен!», а вот про то, что Firefox — небезопасен, как-то говорится вскользь и только в одном абзаце. И не дают рекомендации отключать js в Firefox.
Не хотят подмочить репутацию Firefox в то время, когда Tor — не жалко?