Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor

Saiu uma atualização para o Tor Browser, para corrigir uma vulnerabilidade que vazou endereços IP reais dos seus usuários.

O projeto lançou uma atualização de para o Tor Browser nas versões para Mac e Linux, afim de corrigir uma vulnerabilidade que vazou endereços IP reais dos seus usuários.


A vulnerabilidade foi detectada por Filippo Cavallarin, CEO da We Are Segment, uma empresa italiana especializada em cibersegurança e hacking ético.

Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor
Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor

Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor

Cavallarin reportou o problema em particular — com o codinome TorMoil — para o projeto Tor na semana passada. Os desenvolvedores do Tor Project trabalharam com a equipe do Firefox [o Tor Browser é baseado no navegador Firefox] para liberar uma correção.

A equipe do Tor lançou a v7.0.9 para abordar a vulnerabilidade. O Tor v7.0.9 só está disponível para usuários Mac e Linux. A versão do Tor para Windows não é afetada.

Vazamento de IP causada por links “file://”

De acordo com Cavallarin, a questão real é um do Firefox na forma como o navegador lida com URLs file://. Embora o problema seja inofensivo no Firefox, é catastrófico no Tor Browser.

“Uma vez que um usuário afetado [Tor Browser] navega para uma página Web especial, o sistema operacional pode se conectar diretamente ao host remoto, ignorando o navegador Tor”, disse Cavallarin.

Ao se conectar diretamente à página, o Tor Browser não passará pela rede de Tor relays, expondo o endereço IP real do usuário ao mundo.

TorMoil “ainda” não foi explorado na wild

Não estamos cientes de que a vulnerabilidade está sendo explorada na wild”, o projeto Tor disse recentemente em uma indicação. No entanto, um invasor pode realizar uma engenharia reserva do Tor Browser binário e detectar o código corrigido. Um programador bem versado pode então facilmente entender como o bug ocorre e criar um exploit para ele.

Embora a maioria dos usuários Linux sejam afetados, a equipe do Projeto Tor disse que os usuários que executam o Tor Browser não são afetados, bem como os usuários que utilizam a versão de sandboxed (Alpha-Stage) do navegador.

Os desenvolvedores do Tor também acrescentaram que o patch que eles entregaram para corrigir o vazamento de IP é apenas uma solução alternativa — adicionados rapidamente para interromper o vazamento — e a funcionalidade URL file:// pode ser quebrada para os usuários em algumas situações. De acordo com os desenvolvedores de navegador Tor, os usuários podem ser capazes de abrir URLs file:// arrastando e soltando o link em uma nova aba.

O projeto Tor anunciou em julho o lançamento de um programa público de recompensas de bugs para incentivar os pesquisadores de segurança a relatarem problemas no software.

Ao contrário de seu programa de recompensas de bugs somente para convidados, este programa de prêmios está aberto a todos os caçadores de prêmios através do HackerOne.

No ano passado, através do seu programa de prêmios privados, o Tor Project corrigiu uma vulnerabilidade Zero Day a para tirar o dos usuários Tor.

O que está sendo falado no blog nos últimos dias

No Post found.


No Post found.



blog comments powered by Disqus