示意圖,與新聞事件無關。

圖片來源: 

Mozilla

Mozilla與Tor專案(Tor Project)在本周三(11/30)相繼更新了旗下的Firefox與Tor Browser瀏覽器,以修補已遭開採的零時差漏洞。

這兩個組織基本上所修補的是同一個安全漏洞,有鑑於Tor Browser是基於開放源碼的Firefox所打造,因而遭到波及;更新版的Tor Browser即是採用修補過後的Firefox。

已現身的攻擊程式鎖定的Tor Browser,它利用Firefox上的安全漏洞來蒐集Tor Browser用戶的IP與MAC位址,藉以得到Tor Browser用戶的真實身分。駭客先將惡意程式嵌入知名的兒童色情網站Giftbox,感染以Tor Browser造訪的使用者電腦,再將系統IP及MAC位址傳遞至遠端伺服器。

該漏洞同時影響Windows、macOS與Linux平台,雖然攻擊程式目前僅鎖定Windows平台,尚未發現針對macOS或Linux的攻擊程式,然而不論是Mozilla或Tor都呼籲所有系統的用戶皆應儘速更新。

外界猜測此一攻擊程式可能是由FBI或其他執法機構所建置,因為它運作的方式與FBI在2013年時用來辨識Tor用戶的網路調查技術一致 。Mozilla認為,假設該程式果真是由執法機構所開發,那麼它現在已允許任何人用來攻擊Firefox用戶,更證明了政府的駭客手法將對整體網路造成威脅。


Advertisement

更多 iThome相關內容