بنابر شواهد موجود، آسیب پذیری تازه پچ شده (CVE-2024-9680) فایرفاکس میتواند بر مرورگر Tor نیز تأثیر بگذارد. این آسیب پذیری توسط Damien Schaeffer (دامین شایفر)، متخصص امنیت سایبری ESET کشف شده است و یک کلاس آسیب پذیری use-after-free (یا UAF) در Animation timelines (جدول زمانی انیمیشن) میباشد.
Animation timelines بخشی از API وب انیمیشن فایرفاکس است که مسئول مدیریت و همگام سازی انیمیشن در سراسر صفحات وب میباشد. باگ UFA اغلب برای حمله به مرورگرها استفاده میشود و به طور بالقوه به مهاجمان امکان کنترل سرویس یا دسترسی بیشتر به سیستم را میدهد.
توسعه دهندگان موزیلا، پچهای اضطراری را منتشر کرده و هشدار دادند که هکرها به سبب این آسیب پذیری میتوانند هنگام کار با محتوا، کد دلخواه را اجرا کنند. این آسیب پذیری در نسخههای Firefox 131.0.2، Firefox ESR 115.16.1 و Firefox ESR 128.3.1 پچ شده است.
توسعه دهندگان Tor در همین زمان به نقل از موزیلا اعلام کردند که این آسیب پذیری به طور فعال در حمله علیه کاربران مرورگر Tor نیز مورد سوء استفاده قرارگرفته است و هکرها با کمک این آسیب پذیری توانستهاند کنترل مرورگر Tor را به دست آورند.
اما اندکی بعد، نمایندگان Tor، این پست وبلاگ را ویرایش کرده و اذعان داشتند که هیچ مدرکی دال بر اینکه کاربران مرورگر Tor عمدا با استفاده از آسیب پذیری CVE-2024-9680 مورد حمله قرار گرفتهاند، وجود ندارد.
آسیب پذیری مورد نظر در نسخههای Tor 13.5.7 و Tails 6.8.1 برطرف شده است.
Tails یک سیستم عامل متمرکز بر حریم خصوصی است که از USB یا DVD اجرا میشود و پس از خاموش شدن، هیچ ردی بر روی کامپیوتر میزبان باقی نمیگذارد. Tails برای اطمینان از ناشناس بودن، تمام ترافیک اینترنت را از طریق شبکه Tor هدایت میکند و با ابزارهای داخلی مانند ایمیل رمزگذاری شده، پیامهای امن و رمزگذاری دیسک همراه است.
به منظور رفع این آسیب پذیری، هم موزیلا و هم Tor توصیه میکنند که کاربران هر چه سریع برای به روزرسانی مرورگر خود اقدام کنند.
