30 ноября 2016 года появилась информации об обнаружении 0-day уязвимости в веб-браузере Mozilla Firefox, которая могла использоваться для атаки на пользователей сети Tor, использующих Tor Browser в системах Windows.
Данная уязвимость использования освобожденной памяти в Firefox была связана с кодом SVG анимации. Исследователи пришли к выводу, что эксплойт был нацелен на эксплуатацию данной бреши безопасности и мог использоваться для атаки пользователей Mozilla Firefox и Tor Browser в анонимной сети Tor.
“Была обнаружена уязвимость использования освобожденной памяти в SVG анимации. Эксплойт, построенный на данной уязвимости, был обнаружен на практике и был нацелен на пользователей Firefox и Tor Browser в Windows” - сообщается в бюллетене Mozilla Foundation Security Advisory 2016-92. Уязвимость получила идентификационное обозначение CVE-2016-9079 и была классифицирована как критическая.
Пользователи должны обновиться до Firefox 50.0.2, Thunderbird 45.5.1 и Tor Browser 6.0.7
Mozilla смогла оперативно подготовить патч, устраняющий уязвимость безопасности в веб-браузере Firefox и в версии с долгосрочной поддержкой Firefox ESR, а также в продуктах Thunderbird. Официально представлены новые версии Mozilla Firefox 50.0.2, Mozilla Firefox ESR 45.5.1 и Mozilla Thunderbird 45.5.1 для всех поддерживаемых платформ, включая Linux, Mac и Windows. Обновление также получили браузеры Cyberfox 50.0.2 и Waterfox 50.0.2.
Хотя целью эксплойта являлись системы Windows, установить новые версии продуктов как можно скорее рекомендуется всем пользователям.
Вчера мы сообщали, что проект Tor также выпустил обновление безопасности Tor Browser 6.0.7. Версия 6.0.7 построена на платформе Mozilla Firefox ESR 45.5.1.
Если вы используете дистрибутивы GNU/Linux, то имейте в виду, что Firefox 50.0.2 и Thunderbird 45.5.1 уже появились в официальных репозиториях Ubuntu и Arch Linux.