Hlavní navigace

Byla zveřejněna vážná zranitelnost prohlížeče Tor umožňující vyzrazení identity

Petr Krčmář

Zerodium, nechvalně známý dodavatel exploitů, na svém twitterovém profilu zveřejnil, jak zneužít kritickou bezpečnostní chybu ukrytou v prohlížeči Tor verze 7. Chyba je konkrétně v rozšíření NoScript, které je v prohlížeči Tor předinstalované.

Rozšíření NoScript brání ve spouštění javascriptového, javového a flashového obsahu na stránkách. Podle této zprávy je možné některé verze donutit provést libovolný javascriptový kód tím, že se jeho content-type nastaví na JSON. Jinými slovy je možné libovolnou stránku upravit tak, aby se spuštěním kódu vyzradila pravá uživatelova IP adresa.

Čerstvě vydaný Tor 8.0 tímto problémem netrpí, protože staví na Firefoxu Quantum a využívá novější NoScript pro API WebExtensions. Uživatelům se rozhodně doporučuje co nejdříve aktualizovat. Problém se samozřejmě týká nejen upraveného prohlížeče pro Tor, ale všech neaktualizovaných verzí Firefoxu se starou verzi rozšíření NoScript (5.0.4 až 5.1.8.6).

(Zdroj: TheHackerNews)

Našli jste v článku chybu?