О критической уязвимости стало известно из письма с примером эксплойта, присланного в Tor Project от анонима под ником FirstWatch. Эксплойт подходит для атаки на Firefox 41 и старше, а также на Tor Browser 6, основанный на ESR-ветке Firefox 45. После успешной эксплуатации уязвимости на пораженном компьютере запускается код, осуществляющий определение IP-адреса системы и отправку сведений на сервер злоумышленников. Аналогичная методика использовалась ФБР в 2013 году для деанонимизации пользователей.
В течение часа после публикации эксплойта один из глав Tor Project уведомил о происходящем команду Mozilla, и началась работа над экстренным патчем. На данный момент закрывающие уязвимость CVE-2016-9079 выпуски Firefox 50.0.2, 45.5.1 и Tor Browser 6.0.7 доступны к скачиванию с официального сайта, что рекомендуется сделать незамедлительно. Днем ранее Mozilla анонсировала корректирующий патч 50.0.1 с устранением еще одной критической уязвимости, проявляющейся только в Firefox 49 и 50.
Свежие комментарии