Mozilla と Tor のユーザーは、ユーザーの匿名性を解除するために使用される Firefox の重大な脆弱性を修正するアップデートをダウンロードするよう強く求められています。
ArsTechnica:
「今回の緊急リリースの原因となったセキュリティ上の欠陥は、Windowsシステムで既に悪用されています」と、Torの担当者は水曜日の午後に公開されたアドバイザリで述べています。「現時点では、OS XやLinuxユーザー向けの同様の脆弱性は確認されていませんが、根本的なバグはこれらのプラットフォームにも影響を与えています。そのため、すべてのユーザーにTorブラウザのアップデートを直ちに適用することを強くお勧めします。」
Torプライバシーツールは、オープンソースのMozilla Firefoxブラウザをベースにしています。Mozillaは昨日、これまで知られていなかった攻撃コードを発見し、一般向けにリリースされたばかりのFirefoxバージョンでこの脆弱性を修正しました。
このコードは既に報告されており、これまでのところWindowsシステムにのみ影響を及ぼしているが、Torは水曜日に、Macシステムも同じ攻撃に対して脆弱であるとユーザーに警告した。
現時点では、OS XやLinuxユーザー向けの同様のエクスプロイトは確認されていませんが、根本的なバグはこれらのプラットフォームにも影響を及ぼします。そのため、すべてのユーザーにTorブラウザのアップデートを直ちに適用することを強くお勧めします。
この攻撃は、ブラウザが悪意のあるJavaScriptやスケーラブルなアニメーションベクターグラフィックに基づくコードを読み込むことで開始されます。このエクスプロイトは、標的のIPアドレスとMACアドレスを攻撃者のサーバーに送信します。このコードは、過去に法執行機関が使用した手法に類似しています。同様のエクスプロイトは、2013年にFBIが児童ポルノを売買していたTorユーザーを特定するために使用されました。
このコードが実際に政府によって使用されたエクスプロイトの派生であるかどうかは示されていないが、Mozilla のセキュリティ担当者 Daniel Veditz 氏はコメントし、Web 全般に対する「おそらく限定的な政府によるハッキング」の脅威を皆に思い出させた。
「もしこの脆弱性が実際に政府機関によって開発され、導入されたのであれば、それが公開され、誰でもFirefoxユーザーを攻撃するために使用できるという事実は、限定的であるはずの政府によるハッキングが、より広範なWebに対する脅威になり得ることを明確に示している。」
脆弱性を修正したTorのバージョンは6.0.7で、こちらからダウンロードできます。Firefoxユーザーは、こちらからアップデートをダウンロードできます。
(MacRumors経由)
