昨日、 Tor 公式 Web サイトで初めて公開され、Firefox のエクスプロイトが明らかになりました。これは主に、Mozilla ブラウザをベースにし、ダークネットをナビゲートするために使用される Tor ブラウザのユーザーに影響を与えます。 Ars Technicaによると、これは新たなゼロデイ脆弱性を利用したエクスプロイトであり、他の Firefox ユーザーにも影響を与える可能性があります。
知られているのは、そのコードが JavaScript で書かれており、現在 Tor プロジェクト ブラウザのユーザーに対して使用されており、ユーザーの匿名性を侵害してマスクを解除できるということです。私たちは深刻かつ効果的な問題に直面しているため、Mozilla 開発者はすでに解決策に取り組んでいることを保証しています。
Ars Technicaが調査したコードを分析した研究者によると、このコードはメモリ破損の脆弱性を悪用し、 Windows を実行しているコンピュータ上で悪意のあるコードの実行を可能にします。具体的には、脆弱なコンピュータで JavaScript を有効にする必要があるオーバーフローのバグを悪用します。
このエクスプロイト コードは、 Windows コンピュータ上でリモート コードを実行する際に 100% 有効であると思われ、Windows オペレーティング システムの重要な部分である kernel32.dll ファイルを直接呼び出します。また、その作成者が複数のバージョンの Firefox で動作することを確認するために、しばらくの間集中的にテストを行っていたという兆候もあります。
FBIがエクスプロイトの背後にいる可能性がある
すでに述べたように、このエクスプロイトは Firefox のゼロデイ脆弱性を利用します。これらのタイプの脆弱性は、プロジェクトの最初から存在していても、今に至るまで明らかにされていないものです。多くの場合、それらを発見した人は何も言わず、単にエクスプロイトを作成することでそれらを利用することを好むため、暴露されるまでに長い時間がかかります。
この場合、Twitter ユーザー@TheWack0lianなどの独立系研究者は、このエクスプロイトが2013 年に連邦政府が Tor ユーザーを発見するために使用したものと実質的に同一であることを確認しているため、その背後にいる可能性のある組織の 1 つとして FBI を挙げています。彼らはダークネット上の児童ポルノのページにアクセスしていました。
コードの大部分は最小限の変更を除いて同一であり、2013 年に使用されたものと非常によく似た方法でコードを実行しているようです。その場合、コードは収集したデータを IP 65.222.202.54 に送信しましたが、新しいエクスプロイトにより、フランスのホスティング会社 OVH に割り当てられた 5.39.27.226 に送信されますが、現時点ではこの点に関して何も発表していません。
いずれにせよ、Mozilla の代表者は、このエクスプロイトが悪用する脆弱性を認識しており、パッチの適用にすでに取り組んでいることをすでに保証しています。 エクスプロイト コードが公開された現在、さらに多くの人がそれを悪用しようとする可能性があるため、アップデートが到着するまでは慎重に対処することが最善です。
更新日: Mozilla はすでにバグを修正したと発表したばかりなので、パニックにならないでください。
経由 | アルス テクニカ
源ベタで | Facebook のバグを利用して、ランサムウェアに感染させる画像を挿入します。