Tor 项目邮件列表披露了一个正被利用执行恶意代码的 Firefox 0day 漏洞。Mozilla 随后证实,正对此开发补丁。
漏洞利用代码利用了一个堆溢出 bug 在 Windows 电脑上执行任何代码。独立安全研究人员分析了漏洞利用代码后发现,其执行的恶意负荷与 FBI 用于去匿名访问儿童色情网站的 Tor 用户身份的代码基本相同。
受影响的 Firefox 版本从 v41 到最新版的 v50,其中包括 Tor browser 使用的长期支持版 v45 ESR。恶意代码需要使用 JavaScript,继续使用 Firefox 和 Tor 的用户最好关闭 JavaScript。
