Уязвимость, получившую название TorMoil, обнаружил глава итальянской компании We Are Segment Филиппо Кавалларин (Filippo Cavallarin). В блоге компании специалист объясняет, что обнаруженная проблема, на самом деле, является багом в Firefox, на котором и базируется браузер Tor. Уязвимость связана с тем, как браузер обрабатывает URL вида file://. Но если для Firefox баг практически безвреден, то для пользователей Tor последствия могут быть катастрофическими.

«Когда пользователь уязвимого браузера Tor попадает на специально созданную веб-страницу, [из-за бага] операционная система может напрямую соединиться с удаленным хостом, в обход браузера Tor», — объясняет Кавалларин. То есть Tor Browser вообще не станет задействовать рилеи Tor и тем самым раскроет настоящий IP-адрес пользователя.

Уязвимости подвержены Tor Browser для Mac и Linux (за исключением Tails OS), но разработчики Tor Project уверяют, что данную проблему пока не эксплуатируют злоумышленники. Впрочем, также разработчики признают, что умелый специалист с легкостью сможет отреверсить вышедшее исправление и создать эксплоит для свежей уязвимости.

Вышедший в конце прошлой недели Tor Browser 7.0.9, который рекомендуется установить как можно скорее, получил лишь временное исправление для вышеописанного бага, так что URL file:// временно могут работать со сбоями.



8 комментариев

  1. Il

    06.11.2017 at 20:16

    всегда проверяю ссылки прежде чем жмякнуть.

  2. mascha227

    12.11.2017 at 17:12

    не обновляется пока до 7.0.9 ;(

  3. Алексей Федоренко

    12.11.2017 at 18:41

    Думаю кому-то из редакторов пора написать новую статью про защиту себя в сети)

Оставить мнение