Mozilla en het Tor Project hebben nieuwe versies van Firefox en Tor Browser uitgebracht vanwege een ernstig beveiligingslek dat actief wordt aangevallen en waardoor aanvallers willekeurige code op de computer kunnen uitvoeren. Voor zover bekend zijn alleen gebruikers van beide browsers op Windows het doelwit van de aanvallen geworden. Ook de Linux- en Mac-versies zijn echter kwetsbaar.
De nu waargenomen aanvallen maken gebruik van JavaScript om de kwetsbaarheid uit te buiten. Tor Browser, waarmee internetgebruikers verbinding met het Tor-privacynetwerk kunnen maken, beschikt over een "security slider" waarmee gebruikers het beveiligingsniveau van de browser kunnen aanpassen. Op het hoogste niveau van de security slider wordt JavaScript geblokkeerd. Het Tor Project, dat Tor Browser ontwikkelt, zegt dat gebruikers die de security slider op het hoogste niveau hadden staan waarschijnlijk tegen de aanval beschermd waren.
Volgens Mozilla wilden aanvallers via de kwetsbaarheid het ip-adres en mac-adres van Tor Browser-gebruikers achterhalen. "Deze exploit werkt op dezelfde manier als de "network investigative technique" van de FBI om Tor-gebruikers te ontmaskeren. Deze overeenkomst heeft voor de speculatie gezorgd dat de exploit door de FBI of een andere opsporingsdienst is gemaakt. Vooralsnog weten we niet of dit ook het geval is", zegt Daniel Veditz van Mozilla. "Als deze exploit inderdaad door een overheidsinstantie is ontwikkeld, is het feit dat de exploit nu openbaar is en door iedereen is te gebruiken om Firefox-gebruikers aan te vallen, een duidelijke demonstratie dat naar verluidt het beperkt hacken door de overheid een dreiging voor het hele web kan worden."
De aanval is volgens beveiligingsonderzoeker Dan Guido niet geraffineerd en doet inderdaad denken aan een aanval op Tor Browser-gebruikers van enkele jaren geleden die door de FBI werd uitgevoerd. Wel hekelt hij de beveiliging van Firefox in dit geval. "Dit soort exploits is vanwege geheugenpartitionering veel lastiger te ontwikkelen voor Chrome en Edge, een exploitbescherming die in Firefox ontbreekt." De beveiliging van Firefox ligt vaker onder vuur. Zo is het nog de enige groter browser zonder volledige sandboxbeveiliging. Vanwege de aanvallen krijgen gebruikers van zowel Firefox als Tor Browser op alle platformen het advies om te updaten naar Firefox 50.0.2 of Tor Browser 6.0.7. Dit kan via de automatische updatefunctie of handmatig.
Deze posting is gelocked. Reageren is niet meer mogelijk.