Kode som benytter seg av et tidligere ukjent hull i Firefox er offentliggjort. Det er observert angrep mot nulldagssårbarheten.
En minnelekkasje i JavaScript-motoren skal være involvert. Angrepskoden er offentliggjort og består av noen hundre linjer med script, HTML og CSS.
– 100 prosent suksessrate
En sikkerhetsekspert Ars Technica har pratet med sier at angrepet fremstår som svært gjennomarbeidet og testet, og med «100 prosent suksessrate for kjøring av vilkårlig kode på Windows-systemer».
Angrepskoden skal være forbløffende lik den som ble brukt for å de-anonymisere og identifisere Tor-brukere som surfet på nettsteder med barnepornografi. Kode som kom fra amerikanske FBI.
Mozilla Firefox i versjonene fra 41 fram til nyeste versjon 50 skal være berørt. Det er også Tor Browser, en implementasjon av anonymiseringsnettverket Tor med Firefox som underliggende nettleser.
Drive-by-angrep
Scriptet kan ligge skjult på en nettside. De som besøker en infisert nettside med sårbar nettleser risikerer da å få en trojaner eller annen skadevare plantet på datamaskinen, uten å merke noe. Dette er en type angrep kjent som «drive-by exploit».
Nøyaktig hva skadevaren gjør er foreløpig ukjent, men de første rapportene tyder på at angrepet er utformet for å avsløre IP-adressene til brukere av Tor Browser. Igjen.
Roger Dingledine, som er direktør og medgründer av Tor-prosjektet, skriver på en Tor-diskusjonsliste at Mozilla er informert og at de nå jobber med en oppdatering.
De første rapportene om pågående angrep som utnytter hullet, inkludert selve angrepskoden ble i går publisert på den samme diskusjonslisten.
En sikkerhetsfiks skal være på vei. I mellomtiden blir deaktivering av JavaScript-støtten i nettleseren nevnt som et mulig vernetiltak. Det kan enten gjøres fra innstillingene under about:config eller ved bruk av en utvidelse som for eksempel NoScript.
