The Tori brauser on enimkasutatud privaatsustööriist Interneti anonüümseks sirvimiseks. Tor-projekt ehitas võrgu osaliselt avatud lähtekoodile, mis sarnaneb vanale versioonile Firefox. Kasutage selle Firefoxi versiooni haavatavust ja paljastate muidu anonüümsed Tori kasutajad. Nii juhtus Mozilla populaarne brauser sel nädalal ja organisatsioon käivitas kiiresti värskenduse, mis parandab nullipäeva haavatavuse.
Avalikus Tor Projecti meililistis ilmnes viga, mis ajendas Mozillat värskendama Firefoxi versioonile 50.0.2. Tor Projecti meeskond andis välja ka brauseri Tor plaastrid, mis nüüd põrutab selle versioonini 6.0.7. Kuigi The Tor-projekt usub, et haavatavus on mõjutanud ainult Windowsi kasutajaid, on ka võimalik, et viga on tabanud macOS-i ja Linuxi kasutajaid kui hästi.
Nullpäeva haavatavus mõjutas ka Mozilla Thunderbirdi e-posti rakendust ja Firefoxi laiendatud toe väljalaske versiooni. Mozilla turvameeskonna juht Daniel Veditz kirjutas ajaveebipostituses:
Kasutamine kasutas ära Firefoxi vea, mis võimaldas ründajal käivitada sihitud süsteemis meelevaldne kood, pannes ohvri laadima veebi, mis sisaldab pahatahtlikku JavaScripti ja SVG-koodi. Ta kasutas seda võimalust, et koguda sihitud süsteemi IP- ja MAC-aadress ning neist keskserverisse teatada.
Tõsine oht
Kui ründaja suudab kasutaja meelitada pahatahtlikku veebisisu külastama, on haavatavust ära kasutades võimalik süsteemi kaugjuhtimisega käivitada suvaline kood.
Turvaekspertide arvates on see ärakasutamine sarnane Firefoxi veaga, mida FBI kasutas 2003. aastal laste väärkohtlemise saidi külastajate tuvastamiseks. Veditz kirjutas, et ähvardab nüüd tõsist ohtu eraelu puutumatusele, kui valitsusasutus selle tõesti ehitas.
See sarnasus on viinud spekulatsioonideni, et selle ekspluateerimise lõi FBI või mõni muu õiguskaitseorgan.
Loe ka:
- 8 parimat ajakirjandustarkvara ajakirjanduse karjääri parandamiseks
- 10 parimat VPN-i tööriista Windows 10 jaoks
