O projeto Tor lançou uma atualização de segurança para o Tor Browser nas versões para Mac e Linux, afim de corrigir uma vulnerabilidade que vazou endereços IP reais dos seus usuários.
- Como compartilhar seus arquivos de maneira segura e anônima com OnionShare
- Como acessar sites que estão bloqueados em seu país usando o SelekTOR
- Tor no Ubuntu e derivados – veja como instalar a última versão
- Como instalar o Tor Browser Launcher no Linux via Snap
- WebTunnel do Tor imitam o tráfego HTTPS para evitar a censura
A vulnerabilidade foi detectada por Filippo Cavallarin, CEO da We Are Segment, uma empresa italiana especializada em cibersegurança e hacking ético.
Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor
Cavallarin reportou o problema em particular — com o codinome TorMoil — para o projeto Tor na semana passada. Os desenvolvedores do Tor Project trabalharam com a equipe do Firefox [o Tor Browser é baseado no navegador Firefox] para liberar uma correção.
A equipe do Tor lançou a v7.0.9 para abordar a vulnerabilidade. O Tor browser v7.0.9 só está disponível para usuários Mac e Linux. A versão do Tor Browser para Windows não é afetada.
Vazamento de IP causada por links “file://”
De acordo com Cavallarin, a questão real é um bug do Firefox na forma como o navegador lida com URLs file://. Embora o problema seja inofensivo no Firefox, é catastrófico no Tor Browser.
“Uma vez que um usuário afetado [Tor Browser] navega para uma página Web especial, o sistema operacional pode se conectar diretamente ao host remoto, ignorando o navegador Tor”, disse Cavallarin.
Ao se conectar diretamente à página, o Tor Browser não passará pela rede de Tor relays, expondo o endereço IP real do usuário ao mundo.
TorMoil “ainda” não foi explorado na wild
“Não estamos cientes de que a vulnerabilidade está sendo explorada na wild”, o projeto Tor disse recentemente em uma indicação. No entanto, um invasor pode realizar uma engenharia reserva do Tor Browser binário e detectar o código corrigido. Um programador bem versado pode então facilmente entender como o bug ocorre e criar um exploit para ele.
Embora a maioria dos usuários Linux sejam afetados, a equipe do Projeto Tor disse que os usuários que executam o Tor Browser não são afetados, bem como os usuários que utilizam a versão de sandboxed (Alpha-Stage) do navegador.
Os desenvolvedores do Tor também acrescentaram que o patch que eles entregaram para corrigir o vazamento de IP é apenas uma solução alternativa — adicionados rapidamente para interromper o vazamento — e a funcionalidade URL file:// pode ser quebrada para os usuários em algumas situações. De acordo com os desenvolvedores de navegador Tor, os usuários podem ser capazes de abrir URLs file:// arrastando e soltando o link em uma nova aba.
O projeto Tor anunciou em julho o lançamento de um programa público de recompensas de bugs para incentivar os pesquisadores de segurança a relatarem problemas no software.
Ao contrário de seu programa de recompensas de bugs somente para convidados, este programa de prêmios está aberto a todos os caçadores de prêmios através do HackerOne.
No ano passado, através do seu programa de prêmios privados, o Tor Project corrigiu uma vulnerabilidade Zero Day a para tirar o anonimato dos usuários Tor.
O que está sendo falado no blog nos últimos dias
- Como tirar print da tela do PC? instale a ferramenta HotShots no Linux
- Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor
- SharkLinux 4.13.0-17 lançado – Confira as novidades e baixe
- Instalando o conjunto de temas Ambiance Blackout Flat Colors
- Bandeja do sistema no Ubuntu sob demanda com o Indicator Systemtray Unity
- Como instalar a versão mais recente do ambiente MATE no Arch Linux