Mozilla corrige une faille critique touchant Tor dans Firefox

crédit photo © Pavel Ignatov - shutterstock

« Mozilla a publié une mise à jour de Firefox contenant un correctif pour une vulnérabilité signalée comme étant activement utilisée pour désanonymiser les utilisateurs de Tor Browser. Les copies existantes de Firefox devraient être mises à jour automatiquement au cours des 24 prochaines heures, » peut-on lire aujourd’hui sur le blog de Mozilla.

Le mardi 29 novembre, l’organisation a mis la main sur un exploit permettant de lancer du code sur le PC d’un internaute, via une simple page web comprenant des éléments JavaScript et SVG spécifiques. L’exploit permet de collecter les adresses IP et MAC de la machine de l’utilisateur, offrant ainsi de le retracer sur Internet. Cet exploit dédié à Windows s’appuie sur une faille existant également sous macOS et Linux.

Multiplication des découvertes de failles critiques

C’est probablement ce type de faille qu’aurait exploitée le FBI pour suivre les utilisateurs de Tor sur la Toile. Voir à ce propos notre précédent article « Le FBI a-t-il exploité une faille inconnue pour traquer les utilisateurs de Tor ? ».

Si vous utilisez Tor, il est donc urgent de vérifier si Firefox est bien installé en mouture 50.0.2. Notez que deux jours plus tôt une autre faille critique était corrigée dans Firefox 50.0.1. Cette dernière permettait de considérer du code tiers comme faisant partie de la page web chargée.