黑客正在利用Firefox的0day漏洞攻擊Tor用戶（含Exploit）

新聞 12-06

根據最新的消息，安全研究專家發現了一個0day漏洞，攻擊者或可利用該漏洞在Tor和Firefox瀏覽器用戶的計算機中執行惡意代碼。

就在幾天前，Tor官網上首次出現了關於一個未知的Firefox漏洞的消息。

其中包含有數百行的漏洞利用代碼（JavaScript），攻擊者可以利用這份代碼來攻擊Tor瀏覽器的用戶。T

or項目的聯合創始人RogerDingledine也證實了該漏洞的真實性，並且表示Mozilla的工程師們正在努力開發針對該漏洞的修復補丁。

安全研究專家在對代碼進行了分析之後表示，攻擊代碼利用了一個內存崩潰漏洞，該漏洞將允許攻擊者在運行了Windows操作系統的計算機中執行惡意代碼。

想必各位都知道，2013年美國聯邦調查局曾經利用了某種技術成功找出了那些利用Tor匿名服務來訪問兒童色情網路的用戶，而根據一位獨立安全研究人員（@TheWack0lian）的分析報告，此次的惡意Payload與2013年FBI所用的Payload幾乎是一樣的。

TheWack0lian在接受採訪時表示：「此次的漏洞利用代碼與2013年FBI所用的幾乎是一樣的，它用來執行惡意代碼的漏洞也與2013年Tor瀏覽器中的漏洞幾乎相同。其中的大部分代碼都是一樣的，只有一小部分改變了。」如果同學們對2013年的那次攻擊事件感興趣的話，可以點擊原文鏈接獲取這份報告。

根據另外一位安全研究人員（JoshuaYabut）的分析報告，攻擊者利用了一個所謂的用後釋放（UAF）漏洞，該漏洞需要使用JavaScript來觸發。Yabut表示，攻擊者可以通過這段漏洞利用代碼攻擊Windows系統，漏洞利用代碼可以根據目標Firefox瀏覽器的版本來調整payload的內存位置，而且遠程代碼執行的成功率為100%。這也就意味著，攻擊者在開發這段漏洞利用代碼時進行了非常廣泛的測試，並以此來確保攻擊代碼可以在多版本的Firefox瀏覽器中正常運行。除此之外，漏洞利用代碼還會直接調用kernel32.dll（Windows操作系統的核心部分）。

Mozilla的官方發言人表示，公司已經得知了關於該漏洞的詳細信息，相關的技術人員正在努力修復該漏洞。考慮到目前這個漏洞的影響範圍，再加上漏洞利用代碼已被公布出來，受影響的用戶數量可能還會繼續增加。因此Mozilla也建議用戶在可用的更新補丁發布之前，先暫時選擇使用其他的瀏覽器。如果用戶仍然想使用Firefox的話，至少應該禁用訪問網站的JavaScript腳本。除此之外，用戶也應該停止使用Tor。

漏洞利用代碼

（代碼詳情請點擊原文鏈接）

下面這段JavaScript代碼就是攻擊者用來攻擊Tor瀏覽器的漏洞利用代碼。它由一個HTML頁面和CSS文件構成，具體如下所示。雖然代碼的具體功能目前尚不清楚，但是它可以直接訪問Windows操作系統的kernel32.dll。

HTML：