黑客正在利用Firefox的0day漏洞攻击Tor用户（含Exploit）

根据最新的消息，安全研究专家发现了一个0day漏洞，攻击者或可利用该漏洞在Tor和Firefox浏览器用户的计算机中执行恶意代码。

就在几天前，Tor官网上首次出现了关于一个未知的Firefox漏洞的消息。其中包含有数百行的漏洞利用代码（JavaScript），攻击者可以利用这份代码来攻击Tor浏览器的用户。Tor项目的联合创始人RogerDingledine也证实了该漏洞的真实性，并且表示Mozilla的工程师们正在努力开发针对该漏洞的修复补丁。

安全研究专家在对代码进行了分析之后表示，攻击代码利用了一个内存崩溃漏洞，该漏洞将允许攻击者在运行了Windows操作系统的计算机中执行恶意代码。

想必各位都知道，2013年美国联邦调查局曾经利用了某种技术成功找出了那些利用Tor匿名服务来访问儿童色情网络的用户，而根据一位独立安全研究人员（@TheWack0lian）的分析报告，此次的恶意Payload与2013年FBI所用的Payload几乎是一样的。

TheWack0lian在接受采访时表示：“此次的漏洞利用代码与2013年FBI所用的几乎是一样的，它用来执行恶意代码的漏洞也与2013年Tor浏览器中的漏洞几乎相同。其中的大部分代码都是一样的，只有一小部分改变了。”如果同学们对2013年的那次攻击事件感兴趣的话，可以点击原文链接获取这份报告。

根据另外一位安全研究人员（JoshuaYabut）的分析报告，攻击者利用了一个所谓的用后释放（UAF）漏洞，该漏洞需要使用JavaScript来触发。Yabut表示，攻击者可以通过这段漏洞利用代码攻击Windows系统，漏洞利用代码可以根据目标Firefox浏览器的版本来调整payload的内存位置，而且远程代码执行的成功率为100%。这也就意味着，攻击者在开发这段漏洞利用代码时进行了非常广泛的测试，并以此来确保攻击代码可以在多版本的Firefox浏览器中正常运行。除此之外，漏洞利用代码还会直接调用kernel32.dll（Windows操作系统的核心部分）。

Mozilla的官方发言人表示，公司已经得知了关于该漏洞的详细信息，相关的技术人员正在努力修复该漏洞。考虑到目前这个漏洞的影响范围，再加上漏洞利用代码已被公布出来，受影响的用户数量可能还会继续增加。因此Mozilla也建议用户在可用的更新补丁发布之前，先暂时选择使用其他的浏览器。如果用户仍然想使用Firefox的话，至少应该禁用访问网站的JavaScript脚本。除此之外，用户也应该停止使用Tor。

漏洞利用代码（代码详情请点击原文链接）

下面这段JavaScript代码就是攻击者用来攻击Tor浏览器的漏洞利用代码。它由一个HTML页面和CSS文件构成，具体如下所示。虽然代码的具体功能目前尚不清楚，但是它可以直接访问Windows操作系统的kernel32.dll。

HTML：

cssbanner.js：

更新：火狐浏览器的开发商Mozilla和Tor项目组已经修复了相关的底层漏洞。据了解，Windows、Mac OSX和Linux平台的浏览器均受到了该漏洞的影响。

* 参考来源：arstechnica、torproject，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM