La vulnérabilité zero-day qui vient d’être patchée au sein de Tor Browser touche Firefox et a déjà été exploitée. Le code d’exploitation trouvé est très proche de celui utilisé par le FBI en 2013 pour piéger les membres d’un réseau pédopornographique PlayPen.
Tor (pour The Onion Router), est un réseau décentralisé en couches permettant aux internautes qui l’utilisent de protéger leur anonymat en surfant sur Internet.
Firefox était victime d’une faille critique, déjà exploitée. Celle-ci, présente sur l’ESR (Extended-support release) du navigateur, affectait de fait TorBrowser, puisque ce dernier est basée sur cette version de Firefox. C’est un utilisateur du navigateur de Tor qui l’a signalée (ainsi que l’exploit) sur la mailing list de Tor. Roger Dingledine, cofondateur du projet, a authentifié la faille et explique avoir contacté les équipes de Firefox. La vulnérabilité est désormais patchée sur Firefox version 50.0.2 et Tor Browser 6.0.7.
La vulnérabilité se trouvait au sein du système de lecteur SVG, était de type dépassement de la mémoire tampon (buffer overflow), et pouvait être exploitée par injection de code JavaScript (ce qui requiert l’activation dans Tor Browser de JavaScript et de SVG). La finalité exacte de l’exploit est inconnue mais permetait l’accès à VirtualAlloc depuis kernel32.dll. Le malware envoyait les données vers un serveur désormais hors ligne hébergé chez OVH.
Or, selon divers chercheurs, la technique d’exploitation de cette vulnérabilité est très similaire à celle utilisée dans le cadre de l’affaire Playpen. Ce site au contenu à caractère pédopornographique avait été infiltré par le FBI, qui l’avait par la suite maintenu en activité afin d’appréhender ses visiteurs, en exploitant une brèche du navigateur. Brèche qui pourrait se trouver dans le code de Firefox utilisé par TorBrowser.
C’est du moins ce que soupçonnait Mozilla. La fondation avait demandé du juge dans cette affaire Playpen qu’il leur fournisse les détails relatifs à la faille exploitée par le FBI. Las, Mozilla a été débouté et par la justice, et par le gouvernement. La vulnérabilité découverte et patchée est-elle la même que celle exploitée par le FBI ? Ni Tor ni Firefox ne peuvent le confirmer mais ils semblent avoir de forts soupçons.
Sources : L’Informaticien, NextInpact
Les commentaires sont fermés.