Une vulnérabilité jour zéro du navigateur Firefox a été découverte hier soir par une source anonyme ayant publié sur la liste de diffusion Tor-talk.
Roger Dingledine, l’un des trois créateurs du logiciel d’anonymisation Tor, confirmait l’existence de la vulnérabilité, et informait que Daniel Veditz de l’équipe de sécurité de Mozilla l’analysait et était en train de travailler sur un correctif.
La vulnérabilité exploite une faille par Javascript, à l’aide d’un fichier HTML et d’un fichier CSS. Elle permet d’exploiter de la mémoire corrompue par débordement de la pile (heap overflow) sur un système Windows afin de pouvoir exécuter du code arbitraire.
D’après les premières analyses, les versions de Firefox pour Windows depuis au moins la version 41, jusqu’à la version 50, sont vulnérables. Si la faille utilisée précisément n’affecte que les versions pour Windows, il semble très probable que des failles similaires soient exploitées sur des versions de Firefox pour d’autres systèmes d’exploitation.
La vulnérabilité permet de détruire l’anonymat des utilisateurs de Tor, en faisant circuler les informations par un serveur arbitraire, apparemment hébergé par OVH. La version actuelle du navigateur Tor utilise le code de Firefox 45.
La faille de sécurité semble remarquablement similaire à une vulnérabilité créée en 2013 par le FBI pour trouver qui se cachait derrière un réseau anonyme de pédophiles.
En attendant un correctif de sécurité, on peut soit arrêter d’utiliser le réseau anonyme, soit désactiver Javascript, ce qui n’est toutefois pas recommandé par le Tor Project, car de très nombreux sites Web l’utilisent.
Comme le code source de la vulnérabilité a été publié, on peut craindre une recrudescence de son utilisation par des pirates.