Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Firefox et Tor Browser colmatent une importante faille 0day

Et les détails sont publics

Firefox et Tor Browser colmatent une importante faille 0day

Le 01 décembre 2016 à 07h30

L’équipe de développement de Tor a mis le doigt sur une faille 0day dans son Browser, plus précisément dans Firefox. Élément troublant, le code d’exploitation trouvé est très proche de celui utilisé par le FBI en 2013 pour piéger les membres d’un réseau pédopornographique. Les deux navigateurs ont été mis à jour.

Tor propose depuis plusieurs années un navigateur, baptisé fort logiquement Tor Browser. Il est bâti sur la branche ESR (Extended-support release) de Firefox, qui dispose d’un support nettement plus long et que Mozilla met en avant pour les entreprises notamment. L’actuel Tor Browser se base ainsi sur Firefox 45 ESR, et y ajoute quelques outils, notamment l’extension basculant les communications sur le réseau.

Ce navigateur est particulièrement utilisé par ceux qui ont besoin de discrétion en ligne, particulièrement dans des pays où la liberté d’information n’est pas garantie. Il peut également être utilisé à des fins bien moins nobles. En 2013, une opération du FBI avait ainsi exploité une faille dans le navigateur, permettant le piratage de nombreuses machines impliquées dans un réseau d’échange de contenus pédopornographiques. Mozilla avait cherché, en vain, à obtenir des détails sur celle-ci.

Une faille déjà exploitée sous Windows

Or, l’équipe a mis la main sur une nouvelle faille dans Firefox, a priori exploitée de la même manière que le FBI. Selon les développeurs de Tor, la faille est déjà active, le code de son exploitation étant fourni sous la forme de quelques centaines de lignes de JavaScript. Roger Dingledine, l’un des fondateurs du réseau Tor, avait lui aussi confirmé la faille, indiquant au passage que Mozilla était au courant que ses ingénieurs travaillaient dessus.

De fait, le père de Firefox a publié cette nuit un avertissement de sécurité pour expliquer la situation. On y apprend notamment que la brèche réside dans la lecture des contenus SVG, et qu'il serait possible de concevoir des contenus malveillants en injectant le code JavaScript mentionné. Dans tous les cas, une mise à jour critique est proposée à tous les utilisateurs de Firefox, qui peuvent donc utiliser l'outil interne au navigateur pour la récupérer (ou depuis le site officiel). Tor Browser suit le mouvement et une nouvelle version 6.0.7.

Des détails troublants

Nos confrères d’Ars Technica se sont notamment entretenus avec le chercheur indépendant en sécurité TheWack0lian, qui s’est penché sur le code d’exploitation de la faille. C’est lui qui a indiqué qu’il était pratiquement identique à celui utilisé en 2013 par le FBI pour pirater les machines du réseau pédopornographique Playpen, finalement démantelé en février 2015. On rappellera que le FBI avait saisi les serveurs, mais en les laissant en ligne. Les enquêteurs avaient introduit la faille dans les pages web pour pirater les machines des inscrits au réseau.

La faille en elle-même ne peut être exploitée que sous Windows. Elle est de type dépassement de mémoire tampon et requiert que le JavaScript soit activé dans le navigateur. C’est bien entendu le cas par défaut, mais on peut le désactiver dans les options de Firefox. Selon un autre chercheur, Joshua Yabut, cette exploitation a été savamment orchestrée, car le code ajuste sa position en mémoire, en fonction de la version de Firefox, les moutures 41 à 50 étant prises en charge. En cas d’exploitation réussie, le code fait des appels à kernel32.dll, l’un des composants centraux de Windows.

Une question importante demeure néanmoins : qui se tient derrière ces attaques ? On ne le sait toujours pas. Actuellement, aucun chercheur ne semble penser que le FBI recommence avec la même technique, dans ce qui serait alors une nouvelle opération contre des serveurs cachés au sein du réseau Tor. Par contre, la méthode et le code d’exploitation sont similaires et l’inspiration est évidente.

Les éternelles problématiques autour des failles de sécurité

Le cas relance évidemment les problématiques liées à la gestion des failles de sécurité, notamment la manière dont les détails sont communiqués à l’éditeur associé. Il rappelle également la manière dont les vulnérabilités sont le fruit d’un commerce intense, une sorte de marché gris dans lequel elles sont régulièrement offertes au plus offrant.

Le cas du FBI, tout en étant emblématique, était loin d’être isolé. La NSA n’avait pas nié qu’elle collectait ces précieuses informations qui constituent autant d’armes dans son arsenal numérique. Elle était même allée jusqu’à expliquer que 91 % d’entre elles faisaient l’objet d’un communiqué auprès de l’éditeur concerné (sans préciser de timing). La Navy avait de son côté publié une annonce pour déclarer son intention d’acquérir des brèches de sécurité. Plus récemment, on se souvient de la lutte intense entre le FBI et Apple pour déverrouiller un iPhone 5c, le Bureau parvenant finalement à ses fins en achetant une faille, pour au moins 1,3 million de dollars.

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

merci

votre avatar







marba a écrit :



C’est cool pour les distributions GNU/Linux, ça va nous ramener plein d’utilisateurs sympas (pédophiles, trafiquants…) <img data-src=" />



Non mais sérieusement, utiliser Tor + Windows, faut être stupide <img data-src=" />





Les pédos et narcos qui ont au moins un neurone actif utilisent déja GNU/Linux, et probablement Truecrypt (et probablement pas Tor). Heureusement, ce ne sont pas exactement des membres “actifs” de la communauté, genre tu les trouveras pas sur les forums d’Ubuntu


votre avatar







Obidoub a écrit :



La distribution Tails prend tout son sens.





Ouaip, elle a également été mise à jour cette nuit (du 3011 au 112) dans la foulée avec sa version 2.7.1.

Plus de détails surhttps://tails.boum.org/

&nbsp;


votre avatar



La faille en elle-même ne peut être exploitée que sous Windows. Elle est de type dépassement de mémoire tampon et requiert que le JavaScript soit activé dans le navigateur. C’est bien entendu le cas par défaut, mais on peut le désactiver dans les options de Firefox



c’est totalement faux.

javascript est bien désactivé par défaut dans Tor Browser (ils sont pas stupides à ce point).

votre avatar

La faille concerne aussi bien Windows que Max OS et Linux. C’est l’exploit qui est écrit pour Windows.



“While the payload of the exploit would only work on Windows, the vulnerability exists on Mac OS and Linux as well. “

votre avatar







fred42 a écrit :



La news fait un raccourci. (ou n’a pas été mise à jour comme l’article sur laquelle elle s’appuie)



Quand on lit l’article d’Ars Technica mis en lien, on voit que la faille est présente aussi sous Linux et Mac OS X. Cet article plus récent indique même des précisions et incite à mettre à jour sans délai.





Apparemment, les versions Mac et Linux sont aussi affectées par le bug, mais à leur connaissance, la faille ne fut pas exploitée sur ces plateformes. L exploitation citée ds l article avec kernel32 est bien propre à la version Windows.





hellmut a écrit :



c’est totalement faux.

javascript est bien désactivé par défaut dans Tor Browser (ils sont pas stupides à ce point).





https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Javascript est activé via l extension NoScript, de manière limitée donc.


votre avatar







hellmut a écrit :



c’est totalement faux.

javascript est bien désactivé par défaut dans Tor Browser (ils sont pas stupides à ce point).





Dans la phrase que tu cite, on parle de Firefox. Donc c’est pas faux.


votre avatar

à noter que Thunderbird vient également d’être mis à jour suite à cette faille SVG :

https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/#thunderbird45.5.1

votre avatar

ouais enfin vu la faille, on se contrefout de firefox.

la cible de ce style d’exploit c’est l’utilisateur de Tor, puisqu’à priori (j’ai pas vraiment fouillé non plus) elle permet de remonter l’IP réelle du terminal utilisé, donc de faciliter son identification.

avec un simple firefox pas besoin d’un exploit. <img data-src=" />

votre avatar







EricB a écrit :



Apparemment, les versions Mac et Linux sont aussi affectées par le bug, mais à leur connaissance, la faille ne fut pas exploitée sur ces plateformes. L exploitation citée ds l article avec kernel32 est bien propre à la version Windows.





L’article dit que la faille ne peut être exploitée que sous Windows, ce qui est faux. Ce n’est pas parce que l’on a repéré une exploitation sous Windows qu’il ne peut y en avoir sous Linux ou Mac OS X.



C’est pour cela que j’ai écrit mon commentaire. Je ne vois pas où tu veux en venir.


votre avatar

Non. Ne pas confondre l’exploitation connue de cette faille et les autres exploitations possibles qui pourraient viser tous les utilisateurs de FIrefox.

D’autant plus que maintenant, d’autres peuvent étudier la faille et l’exploiter.

votre avatar

Ifrefox 50.0.1 corrige une faille critique sur HTTPhttps://www.mozilla.org/en-US/security/advisories/mfsa2016-91/

Et Firefox 50.0.2 corrige la faille sur le SVG propre à windowshttps://www.mozilla.org/en-US/security/advisories/mfsa2016-92/



Peut-être que les gars de Canonical on voulu publier le patch de Firefox 50.0.1 mais comme les failles se sont suivis en 48h d’intervalle et que la dernière est une 0-days ils ont basculé directement à la 50.0.2

votre avatar







marba a écrit :



&nbsp;Non mais sérieusement, utiliser Tor + Windows, faut être stupide <img data-src=" />





&nbsp;Non mais sérieusement, utiliser Tor &nbsp;sur sa box, faut être stupide&nbsp;<img data-src=" />


votre avatar

Heureusement que JS est activé par défaut dans tous les navigateurs, c’est juste impossible d’utiliser le web de 2016 sans JS. C’est un peu comme demander à&nbsp; une voiture de rouler sans pneu.

votre avatar

j’ai pas dit le contraire, je parlais de tor browser, dont le but n’est pas d’afficher tous les contenus, mais de protéger l’anonymat de celui qui l’utilise.

votre avatar

Glop!



C’est bien que les chercheurs aient trouvés cette faille et l’ait signalé, on se dirige un peu plus vers un système sûr pour Tor et FF :)



Préservé l’anonymat est le rôle de TOR, si on ne peut plus lui faire confiance, ce serait dommage.

Dommage qu’il soit utilisé pour certaines mauvaises actions par contre :(

&nbsp;

votre avatar

Ah enfin je comprends de quoi ça parle. J’avais lu la faille 0-day hier mais tous les liens renvoyaient vers des sites en anglais et très techniques, je n’avais pas pigé de quoi il s’agissait.



D’ailleurs pas mal de monde appelait à abandonner Firefox pour ça, je trouve qu’ils sur-réagissent un peu… Ok c’est une faille 0-day, assez importante, mais s’il faut abandonner tout logiciel sur lequel on découvre une faille, autant arrêter d’utiliser des produits informatiques. M’enfin ça participe au firefox-bashing, c’est dans l’air du temps de dire qu’il faut âââbsolument utiliser Chrome, que Firefox consomme trop de mémoire (alors que ça s’est bien amélioré depuis des années, et que les extensions tierces sont souvent la cause de la consommation exessive). Mais je préfère utiliser un navigateur open-source, qui corrige très vite les failles (qui restent quand même assez rares), qu’un espiogiciel <img data-src=" />



Par contre il y a un truc qui m’échappe : Firefox sur Ubuntu me demande une mise à jour ce matin. Pourquoi, vu que la faille ne concerne que Windows ? Cette nouvelle version devrait avoir un code identique à la précédente si elle n’est pas concernée par le correctif <img data-src=" />

votre avatar

Lol : Tor , le piège à cons !



Pour identifier et suivre des utilisateurs du réseau d’anonymisation Tor, le Bureau fédéral d’enquête américain (FBI) a utilisé une « vulnérabilité publiquement inconnue », selon un juge



En savoir plus surhttp://www.silicon.fr/fbi-faille-zero-day-pister-utilisateurs-tor-163973.html#QK…



Selon la presse américaine, le FBI aurait obtenu l’aide d’un ancien développeur du projet Tor pour désanonymiser les utilisateurs du réseau.

En savoir plus surhttp://www.silicon.fr/le-fbi-a-recrute-chez-tor-pour-demasquer-les-utilisateurs-…

votre avatar

Pour les gens calomniant Firefox, c’est la même chose sur tous les produits : dès qu’un pépin important est détecté, pour certains faut boycott. Faut juste faire la part des choses (je l’ai faite en utilisant Vivaldi à la place de Firefox <img data-src=" /> ).



Pour le patch sous Linux, c’est sans doute pour ne pas avoir de différence de n° de version entre les OS. Du coup, ils fournissent aussi d’autres corrections le + souvent en même temps, et ça permet d’avoir les mêmes versions pour tout le monde, donc de pouvoir mieux gérer le parc.

votre avatar

…. il suffit de lire les spec. de Tor et son concept pour comprendre les compromissions possibles et ce , de par sa conception….

votre avatar

C’est cool pour les distributions GNU/Linux, ça va nous ramener plein d’utilisateurs sympas (pédophiles, trafiquants…) <img data-src=" />



Non mais sérieusement, utiliser Tor + Windows, faut être stupide <img data-src=" />

votre avatar







marba a écrit :



Non mais sérieusement, utiliser Tor + Windows, faut être stupide <img data-src=" />





<img data-src=" /><img data-src=" />



Plus sérieusement, “On ne construit pas une forteresse sur des sables mouvants.”

La fiabilité de l’infrastructure supportant les applications est aussi importante que la sécurité des applications elles-mêmes.

Quand c’est l’OS qui est le maillon faible en terme de respect de la vie privée, à quoi bon chercher à la préserver ensuite …


votre avatar

La distribution Tails prend tout son sens.

votre avatar







Jarodd a écrit :



Par contre il y a un truc qui m’échappe : Firefox sur Ubuntu me demande une mise à jour ce matin. Pourquoi, vu que la faille ne concerne que Windows ? Cette nouvelle version devrait avoir un code identique à la précédente si elle n’est pas concernée par le correctif <img data-src=" />







La faille est déjà exploitée sur Windows, ça ne signifie pas pour autant qu’elle n’existe pas sous Linux. Juste que l’exploitation sous Linux serait différente. Sous Windows, l’exploitation connue fait des appels au noyau Windows, il faudrait l’adapter à Linux pour l’utiliser.


votre avatar

Rien à voir, mais depuis qq temps, Firefox est affreusement lent (au démarrage) sur une machine W10/SSD à base de Pentium N3540 (4-cores). Avec juste 2 extensions : uBlock Origin et Disconnect.

Testé le “reset” Firefox, ou en safe mode, c’est à peine mieux… <img data-src=" />

Chrome + Edge, niquel ! <img data-src=" />

votre avatar

Donc si j’ai bien compris pour se faire avoir il faut utiliser windows <img data-src=" /> et visiter un site piégé (probablement par la police car le site est illégal).

Il faut vraiment être malchanceux.

votre avatar







fred42 a écrit :



La faille est déjà exploitée sur Windows, ça ne signifie pas pour autant qu’elle n’existe pas sous Linux. Juste que l’exploitation sous Linux serait différente. Sous Windows, l’exploitation connue fait des appels au noyau Windows, il faudrait l’adapter à Linux pour l’utiliser.





Ah ? Pourtant l’actu dit :



La faille en elle-même ne peut être exploitée que sous Windows.


votre avatar

Peut-être que l’exécution du kernel est unique à Windows, mais le dépassement de mémoire tampon doit aussi concerner Linux non ?

votre avatar

Va dire ça aux ex-utilisateurs de playpen, qui en plus ont déjà la malchance d’être pédo <img data-src=" />.

votre avatar

La news fait un raccourci. (ou n’a pas été mise à jour comme l’article sur laquelle elle s’appuie)



Quand on lit l’article d’Ars Technica mis en lien, on voit que la faille est présente aussi sous Linux et Mac OS X. Cet article plus récent indique même des précisions et incite à mettre à jour sans délai.

votre avatar







domFreedom a écrit :



Rien à voir, mais depuis qq temps, Firefox est affreusement lent (au démarrage) sur une machine W10/SSD à base de Pentium N3540 (4-cores). Avec juste 2 extensions : uBlock Origin et Disconnect.

Testé le “reset” Firefox, ou en safe mode, c’est à peine mieux… <img data-src=" />

Chrome + Edge, niquel ! <img data-src=" />







Moi aussi je le trouve lent au lancement, c’est pourtant la version 50, qui est censée se lancer plus vite que son ombre.


votre avatar

C’est Windows qui te choque dans l’histoire ? Ca serait pas plutôt JavaScript le problème dans cette histoire ?

Enfin le problème… façon de parler, si ça permet de faire tomber un réseau de pedos… mais bon je suis surpris que des utilisateurs de Tor laissent le JS actif…

votre avatar

Sauf que dans le passage de la news que tu cites, il est question de Firefox.



Et la faille ne permet pas que de dés-anonymiser comme dans le cas ici, mais pourrait servir pour faire plein d’autres choses.

votre avatar







fred42 a écrit :



Sous Windows, l’exploitation connue fait des appels au noyau Windows





Oui enfin kernel32.dll est juste une DLL comme une autre… Une simple allocation de mémoire requiert kernel32.dll.

L’attaque dont il est question ici reste limitée aux droits de l’utilisateur en cours. Il n’y a aucune élévation de privilège.


votre avatar

Merci de la précision, je n’y connais rien en Windows.

votre avatar

Et hop encore une faille à cause d’un dépassement de mémoire tampon.. Vivement l’arrivée de langages plus safe dans les navigateurs ! Mozilla a son projet Quantum pour fin d’année prochaine, Edge n’a officiellement rien de prévu mais pas mal d’ingé issu du projet Midori y travaillent, Chrome pour l’instant pas de nouvelles non plus…

Firefox et Tor Browser colmatent une importante faille 0day

  • Une faille déjà exploitée sous Windows

  • Des détails troublants

  • Les éternelles problématiques autour des failles de sécurité

Fermer