Accueil > Nouvelles Cyber > La vulnérabilité du navigateur Tor Zero-Day révélée: Patch Immédiatement!
CYBER NOUVELLES

Tor Browser vulnérabilité Zero-Day Révélé: Patch Immédiatement!

Zerodium a récemment rapporté la découverte d'un nouvel exploit zero-day dans le navigateur Tor. Le même exploit fournisseur plus tôt cette année offert $1 millions pour soumettre un tel exploit pour le navigateur Tor. Le nouveau zéro jour Tor pourrait révéler l'identité des sites visités par l'utilisateur.




Zerodium Tor Browser Révèle Zero-Day dans un Tweet

Тhe exploiter fournisseur rapporté la faille et a donné des instructions sur la façon dont il peut être reproduit dans un Tweet publié le lundi. Il semble que le navigateur Tor a récemment publié 8 n'est pas affectée par le zéro jour:

Consultatif: Tor Browser 7.x a un sérieux vuln / bugdoor menant à la pleine dérivation de Tor / NoScript Safest »’ niveau de sécurité (censé bloquer tous les JS). PoC: Réglez le type de contenu de votre page html / js à “text / html;/json” et profiter pleinement Pwnage JS. Nouvellement sorti Tor 8.x n'est pas affectée.

Comme cela est visible par le tweet, l'exploit est sur une vulnérabilité dans le navigateur Tor, mais en fait il influe NoScript. NoScript est une extension Firefox protège bien connu que les utilisateurs de scripts malveillants en permettant JavaScript, Java, et plugins Flash pour être exécutés que sur des sites de confiance. Il convient de noter que le navigateur Tor est basé sur le code de Firefox, ainsi il comprend NoScript par défaut.

Zerodium dit que les versions NoScript 5.0.4 à 5.1.8.6 peut être court-circuite d'exécuter un fichier JS en modifiant son en-tête de type de contenu au format JSON. Cela peut se produire même lorsque le niveau de sécurité « Safest » est activée. Cela signifie qu'un site Web peut tirer parti de ce jour zéro pour exécuter JavaScript malveillant sur le navigateur Tor et pour obtenir l'adresse IP réelle de la victime.

Heureusement, la dernière version de Tor n'est pas affectée par cette vulnérabilité, tout simplement parce que le plugin NoScript pour la version de Firefox Quantum est basé sur un autre format API. Cependant, les utilisateurs exécutant 7.x Tor sont invités à mettre à jour le navigateur le plus rapidement possible vers la dernière version afin d'éviter tout compromis.

Enfin, NoScript a été informé sur la question et fixe la faille avec la sortie de la version NoScript « Classic » 5.1.8.7.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord