Zerodium informó recientemente el descubrimiento de un nuevo exploit de día cero en el navegador Tor. Lo mismo exploit proveedor principios de este año ofreció $1 millones para la presentación de tales un exploit para el navegador Tor. El nuevo Tor podía día cero revelar la identidad de los sitios web visitados por el usuario.
Zerodium revela Tor Browser día cero en un Tweet
Тhe explotar proveedor reportado el fallo y dio instrucciones acerca de cómo puede ser reproducida en una Pío publicado el lunes. Parece ser que el Tor Browser recientemente publicado 8 no se ve afectado por el día cero:
Consultivo: Tor Browser 7.x tiene un grave VULN / bugdoor que conduce a la plena derivación de Tor / NoScript ‘más segura’ nivel de seguridad (supone para bloquear todo el JS). PoC: Establecer el tipo de contenido de la página html / js a “text / html;/JSON” y gozar de plena Pwnage JS. Recién liberado 8.x Tor no se ve afectada.
Como es visible por el tweet, el exploit es acerca de una vulnerabilidad en el navegador Tor pero en realidad impactos NoScript. NoScript es un conocido extensión para Firefox que protege a los usuarios de scripts maliciosos al permitir JavaScript, Java, y conectores de Flash que se ejecutan sólo en los sitios web de confianza. Cabe señalar que el Tor Browser está basado en el código de Firefox, por lo tanto, incluye NoScript por defecto.
Zerodium dice que las versiones de NoScript 5.0.4 a 5.1.8.6 puede ser no pasa por ejecutar cualquier archivo JS alterando su encabezado de tipo de contenido a formato JSON. Esto puede ocurrir incluso cuando el nivel de seguridad “más segura” está activado. Esto significa que un sitio web puede tomar ventaja de este día cero para ejecutar código JavaScript malicioso en el navegador Tor y para obtener la dirección IP real de la víctima.
Afortunadamente, la última versión de Tor no se ve afectado por esta vulnerabilidad, simplemente porque el plugin NoScript para la versión cuántica de Firefox se basa en un formato de API diferente. Sin embargo, usuarios que usan Tor 7.x se insta a actualizar el navegador tan pronto como sea posible a la última versión de evitar cualquier compromiso.
Finalmente, NoScript fue notificada sobre el tema y se fija la falla con el lanzamiento de NoScript versión “Classic” 5.1.8.7.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: