Mozilla與Tor修補瀏覽器上同一個零時差漏洞

jis2577

Mozilla與Tor分別修補了Firefox及Tor Browser瀏覽器上同一個零時差漏洞，駭客先將惡意程式嵌入兒童色情網站，當使用者以Tor Browser造訪該站時就會遭到感染，蒐集用戶的IP與MAC位址，從而取得其真實身份。

Mozilla與Tor專案（Tor Project）在本周三（11/30）相繼更新了旗下的Firefox與Tor Browser瀏覽器，以修補已遭開採的零時差漏洞。
這兩個組織基本上所修補的是同一個安全漏洞，有鑑於Tor Browser是基於開放源碼的Firefox所打造，因而遭到波及；更新版的Tor Browser即是採用修補過後的Firefox。
已現身的攻擊程式鎖定的Tor Browser，它利用Firefox上的安全漏洞來蒐集Tor Browser用戶的IP與MAC位址，藉以得到Tor Browser用戶的真實身分。駭客先將惡意程式嵌入知名的兒童色情網站Giftbox，感染以Tor Browser造訪的使用者電腦，再將系統IP及MAC位址傳遞至遠端伺服器。
該漏洞同時影響Windows、macOS與Linux平台，雖然攻擊程式目前僅鎖定Windows平台，尚未發現針對macOS或Linux的攻擊程式，然而不論是Mozilla或Tor都呼籲所有系統的用戶皆應儘速更新。
外界猜測此一攻擊程式可能是由FBI或其他執法機構所建置，因為它運作的方式與FBI在2013年時用來辨識Tor用戶的網路調查技術一致 。Mozilla認為，假設該程式果真是由執法機構所開發，那麼它現在已允許任何人用來攻擊Firefox用戶，更證明了政府的駭客手法將對整體網路造成威脅。

pekyhuang6

  

xfzc