Torブラウザは、インターネットを匿名で閲覧するために最も広く使用されているプラ​​イバシーツールです。 Torプロジェクトは、古いバージョンのFirefoxに似たオープンソースコードでネットワークを部分的に構築しました。 そのFirefoxバージョンの脆弱性を悪用すると、匿名のTorユーザーのマスクを解除できます。 それが今週のMozillaの人気ブラウザで起こったことであり、組織はゼロデイ脆弱性を修正するアップデートを迅速に展開しました。

Torプロジェクトの公開メーリングリストは、MozillaがFirefoxをバージョン50.0.2に更新するように促したバグを明らかにしました。 また、TorプロジェクトチームはTorブラウザ用のパッチを発行し、バージョン6.0.7にアップグレードしました。 Torプロジェクトは、この脆弱性はWindowsユーザーのみに影響していると考えていますが、macOSおよびLinuxユーザーにもバグが影響している可能性があります。

ゼロデイ脆弱性は、MozillaのThunderbird電子メールアプリケーションとFirefox延長サポートリリースバージョンにも影響しました。 MozillaのセキュリティチームのリーダーであるDaniel Veditzがブログ投稿に次のように書いています。

この悪用はFirefoxのバグを利用して、攻撃者が悪意のあるJavaScriptおよびSVGコードを含むWebページを被害者にロードさせることにより、標的となるシステムで任意のコードを実行できるようにしました。 この機能を使用して、ターゲットシステムのIPアドレスとMACアドレスを収集し、それらを中央サーバーに報告しました。

深刻な脅威

攻撃者がユーザーを悪質なWebコンテンツに誘導することができる場合、この脆弱性を利用してシステム上で任意のコードをリモートで実行することが可能です。

セキュリティの専門家は、この悪用は2003年にFBIが児童虐待サイトへの訪問者を識別するために使用したFirefoxの欠陥に似ていると考えています。 Veditzは、政府機関が実際に構築した場合、この脅威はプライバシーに深刻な脅威をもたらすと書いています。

この類似性により、このエクスプロイトはFBIまたは別の法執行機関によって作成されたと推測されています。

また読む：

• ジャーナリズムのキャリアを強化する8つの最高のジャーナリズムソフトウェア
• Windows 10向けのベスト10 VPNツール