Kunne også høre under infektion, men nu smed jeg den sgu her..
Ser ud til at der er blevet opsnappet et 0day-exploit, som efter sigende skulle virke mod TOR-Browseren (Og Firefox?).
Exploitet bruger shellcode som skulle være meget nært det, der blev brugt af FBI i 2013 til at opsnappe de rigtige IP'er bag TOR-brugere.
NoScript skulle beskytte mod inficering, hvilket er klart når man ser på exploitet.



Exploit og offentlig publicering: https://lists.torproject.org/pipermail/t...42639.html
Netsec tråd: https://www.reddit.com/r/netsec/comments...y_used_in/
Lidt Twitter chatter:
https://twitter.com/TheWack0lian/status/...7521474560
https://twitter.com/csoghoian/status/803728414012215297
https://twitter.com/csoghoian/status/803749223426650112


Disassembled shellcode:
https://gist.github.com/Wack0/0fedb57beb...6235ba85ef
https://gist.github.com/0xEBFE/87f254b5a...ce6b072030

Jeg vil ikke råde folk til 'bare lige' at køre exploitet. Der er meldinger om at callback-serveren er nede, men hvis det nu er pædofile de er på jagt efter, så er det nok ikke fandens smart, hvis man ikke er bag en VPN-udbyder man stoler 100% på. Selv her kan det vel også gå galt.

Rimelig neat at de har fundet et 0day. Siden det så er JavaScript, er det jo bare endnu federe.

And this is why you disable JavaScript and use NoScript on TOR.

Og dem kommer der helt sikkert utallige af i den nærmeste fremtid.
Javascript bliver jo mere og mere udbredt, samtidigt med at det skal være større og have flere egenskaber.
Både Mozilla og Google udvider jo deres engines konstant, så det er nok her der skal ledes efter sårbarheder.

(30-11-2016, 13:23)Ash Skrev: And this is why you disable JavaScript and use NoScript on TOR.

Good call :)