Спецпроекты

С помощью браузера Tor можно захватить ПК под Windows, Linux и macOS. Атаки уже начались

10305
Безопасность Стратегия безопасности Пользователю Техника

Mozilla Foundation и Tor выпустили внеплановые обновления для нейтрализации опасной уязвимости в своих браузерах.

Внепланово и срочно

Mozilla Foundation и Tor выпустили экстренное обновление для «бага» в браузерах Firefox и Tor, который позволяет получить полный контроль над компьютером, на котором установлены эти браузеры.

Уязвимость CVE-2019-11707 относится к типу "type confusion" (несоответствие используемых типов данных). Причиной её возникновения стали проблемы в обработке типов данных в методе Array.pop, используемом при работе браузера с объектами JavaScript. Согласно описанию на сайте Mozilla, это может привести к «эксплуатируемому сбою» в работе браузера.

Уязвимость критическая, поскольку допускает запуск произвольного кода (говоря конкретнее, вредоносного JavaScript прямо в браузере) и впоследствии - перехват контроля над всей системой.

Затронуты все версии Firefox и Firefox ESR под Windows, macOS и Linux. Внеплановые обновления Firefox 67.0.3 и Firefox ESR 60.7.1 исправляют проблему.

Атаки уже начались

Неизвестные злоумышленники уже использовали уязвимость в серии фишинговых атак 17 июня 2019 г. В течение суток после их обнаружения, как заявили представители Mozilla, был выпущен патч.

tor600.jpg
«Баг» в браузерах Firefox и Tor позволяет получить полный контроль над компьютером

Между тем, Самуэль Гросс (Samuel Groß), эксперт Google Project Zero, утверждает, что он обнаружил эту уязвимость ещё в середине апреля, и что патч для неё начали выкатывать ещё неделю назад - по-видимому, в публичных бета-версиях браузера.

Гросс также заметил, что эксплуатация с удалённым запуском вредоносного кода потребует от злоумышленника производить ещё и выход за пределы «песочницы». Впрочем, есть также вариант использовать её в контексте универсального межсайтового скриптинга, - в некоторых случаях этого будет вполне достаточно для целей злоумышленника.

Что касается браузера Tor (основу которого составляет код Firefox), то данная уязвимость вообще не затрагивает тех пользователей, которые используют режимы повышенной и максимальной безопасности (Safer/Safest). Для остальных выпущены обновления браузера 8.5.2 и аддона NoScript 10.6.3, нейтрализующее «баг».

«Баг опасен при любом раскладе, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Так что если обновления затронутых браузеров не производятся автоматически, настоятельно рекомендуется обновить их вручную как можно скорее. Возможно, задействовать её для запуска вредоносного кода в целевой системе не настолько просто, чтобы с этим справился начинающий, но тем не менее, атаки уже имели место быть, а следовательно, угроза требует немедленной нейтрализации».

Подробностей о произошедших в начале недели атаках с использованием данных уязвимостей, никто пока не опубликовал.



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Стратегия месяца

Уже появляются российские эквиваленты западных решений для банков

Сергей Пегасов

CIO Промсвязьбанка