更新Firefox和Tor以修补关键的零日漏洞

Mozilla和Tor Project都修补了该漏洞，该漏洞允许攻击者通过Firefox web浏览器中的内存损坏漏洞在Windows操作系统上远程执行恶意代码。

Tor Browser Bundle是开源Mozilla Firefox浏览器的重新打包版本，通过Tor匿名网络运行连接，该网络配置为隐藏用户的公共IP地址。

然而，一名未具名在线用户发布的攻击代码目前正被用来攻击Tor浏览器用户，以泄露Tor用户的潜在身份信息。

“导致此次紧急发布的安全漏洞已经在Windows系统上被积极利用，”匿名网络的一名官员在周三发布的一份公告中写道。

“尽管目前没有针对OS X或Linux用户的类似攻击，但潜在的[Firefox]漏洞也会影响这些平台。因此，我们强烈建议所有用户立即将更新应用到他们的Tor浏览器。”

Tor项目发布其浏览器的更新版本后不久，Mozilla也发布了一篇博客文章，称该公司还发布了修补潜在漏洞的Firefox更新版本。

该漏洞被指定为CVE-2016-9079，并被评为严重漏洞，还影响Mozilla的Thunderbird电子邮件应用程序和Tor浏览器使用的Firefox Extended Support Release（ESR）版本。

该攻击代码利用了潜在的漏洞，最初于周二在SIGAINT面向隐私的公共电子邮件服务管理员发布的Tor讨论列表中传播。

Mozilla安全官员Daniel Veditz说：“该漏洞利用Firefox中的一个漏洞，让攻击者加载包含恶意JavaScript和SVG代码的网页，从而在目标系统上执行任意代码。”。

“它使用此功能收集目标系统的IP和MAC地址，并将其报告回中央服务器。虽然利用此漏洞的有效负载只能在Windows上工作，但该漏洞也存在于MAC OS和Linux上。”

强烈建议Firefox和Tor用户尽快将其web浏览器分别更新为最新的Firefox版本50.0.2和Tor浏览器6.0.7。

同时，使用Tor和主流版本Firefox的用户可以将Firefox安全滑块设置为“高的“为了保护自己免受攻击。

这样做会使剥削变得毫无意义，格奥尔格·科彭Tor Browser团队负责人在一封电子邮件中告诉《黑客新闻》，尽管该设置将阻止许多网站按预期工作。

“除此之外，我们目前正在研究沙箱技术，这些技术有可能减轻这种攻击，”科彭补充说。“唉，它们还没有为稳定系列做好准备。我们计划在下一个计划的alpha版本中发布原型。”