Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее
Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее до актуальной версии 6.0.5. Новая версия веб-браузера включает в себя исправление серьезной уязвимости Firefox с внутренним идентификатором ESR-45, которая позволяет атакующим, получившим в распоряжение действительный или фальшивый цифровой сертификат TLS для веб-сайта addons.mozilla.org, удаленно устанавливать вредоносное ПО через доставку вредоносного обновления для расширения NoScript.
Для эксплуатации уязвимости используются и другие слабые места Firefox, например, возможность подписывать цифровой подписью расширения на основе полностью автоматического процесса. Процесс атаки может состоять из следующих этапов.
Мы рекомендуем пользователям обновить свою копию веб-браузера до версии 6.0.5. Загрузить ее можно здесь или на веб-странице с директорией дистрибутивов.
This release features important security updates to Firefox including the recently disclosed extension update vulnerability. All users should upgrade as soon as possible.
Сама уязвимость (Tor Browser certificate pinning bypass for addons.mozilla.org) позволяет подготовленным атакующим организовать скрытную RCE-атаку на пользователей веб-браузера Tor на различных платформах, включая, Windows, Linux, и OS X.
That vulnerability allows an attacker who is able to obtain a valid certificate for addons.mozilla.org to impersonate Mozilla’s servers and to deliver a malicious extension update, e.g. for NoScript. This could lead to arbitrary code execution. Moreover, other built-in certificate pinnings are affected as well. Obtaining such a certificate is not an easy task, but it’s within reach of powerful adversaries (e.g. nation states).
Для эксплуатации уязвимости используются и другие слабые места Firefox, например, возможность подписывать цифровой подписью расширения на основе полностью автоматического процесса. Процесс атаки может состоять из следующих этапов.
- Разработать вредоносное расширение с нужным для атакующих кодом, а затем подписать его у Mozilla.
- Сгенерировать фальшивый цифровой сертификат для addons.mozilla.org, который может пройти проверку любого CA из хранилища Firefox (является весьма сложной задачей, но не является невыполнимой для state-sponsored атакующих).
- Организовать MitM-атаку на трафик, проходящий между addons.mozilla.org и системой жертвы при обновлении NoScript.
- Вредоносное расширение доставляется предполагаемой жертве вместо его легитимного обновления.
Мы рекомендуем пользователям обновить свою копию веб-браузера до версии 6.0.5. Загрузить ее можно здесь или на веб-странице с директорией дистрибутивов.
Более детально уязвимость описана в следующих источниках.
hackernoon.com/tor-browser-exposed-anti-privacy-implantation-at-mass-scale-bd68e9eb1e95#.jo6nw5hj4
seclists.org/dailydave/2016/q3/51
be secure.