Το Zerodium, ο διαβόητος πωλητής που προσέφερε το 1 εκατομμύριο δολάρια για την υποβολή ευπάθειας 0-day για το πρόγραμμα περιήγησης Tor, αποκάλυψε δημοσίως μια κρίσιμη ευπάθεια στο ανώνυμο λογισμικό περιήγησης που θα μπορούσε να αποκαλύψει την ταυτότητά σας στους ιστότοπους που επισκέπτεστε.
Σε ένα Tweet, το Zerodium μοιράστηκε το 0-day που βρίσκεται στο plugin του προγράμματος περιήγησης NoScript και έρχεται προεγκατεστημένo με το Mozilla Firefox που περιλαμβάνεται στο λογισμικό Tor 1.
Το NoScript 2 είναι μια δωρεάν επέκταση του προγράμματος περιήγησης που απενεργοποιεί, από προεπιλογή, κακόβουλο JavaScript, Java, Flash και άλλο δυνητικά επικίνδυνο περιεχόμενο σε όλες τις ιστοσελίδες, παρόλο που οι χρήστες μπορούν να βάλουν σε εξαιρέσεις, τις τοποθεσίες που εμπιστεύονται.
Σύμφωνα με το Zerodium, οι εκδόσεις NoScript «Classic» 5.0.4 έως 5.1.8.6 – με ενεργοποιημένο το επίπεδο ασφαλείας «Safest» – που περιλαμβάνονται στο Tor Browser 7.5.6 μπορούν να παρακάμπτονται για να τρέξουν οποιοδήποτε αρχείο JavaScript, αλλάζοντας το περιεχόμενο που είναι σε JSON μορφή.
Με άλλα λόγια, ένας ιστότοπος μπορεί να εκμεταλλευτεί αυτό το κενό ασφαλείας για να εκτελέσει κακόβουλο JavaScript στα προγράμματα περιήγησης Tor των θυμάτων, έτσι ώστε να εντοπίσει αποτελεσματικά την πραγματική διεύθυνση IP τους και να κινδυνεύσει η ιδιωτικότητά τους.
Θα πρέπει να σημειωθεί ότι η τελευταία έκδοση του προγράμματος περιήγησης Tor, δηλαδή του Tor 8.0, δεν είναι ευάλωτη σε αυτό το σφάλμα, καθώς το plugin NoScript που έχει σχεδιαστεί για τη νεότερη έκδοση του Firefox («Quantum») βασίζεται σε διαφορετική μορφή API.
Ως εκ τούτου, οι χρήστες του Tor 7.x συνιστάται ιδιαίτερα να ενημερώσουν αμέσως το πρόγραμμα περιήγησης τους με την τελευταία έκδοση Tor 8.0. Το NoScript έχει επίσης διορθώσει τη 0-day ευπάθεια με την έκδοση του NoScript «Classic» έκδοση 5.1.8.7.
Παραπομπές:
- Tor Browser (official web) ↩
- NoScritp (official web) ↩
Linux-User
Technopolitan.gr
Termatiko
Cerebrux 
Σου άρεσε το άρθρο; Πες την άποψή σου... έστω και Ανώνυμα: