Проблема исправлена в версии Tor 7.0.9, выпущенной в пятницу, 3 ноября.
Организация Tor Project исправила в браузере Tor для Mac и Linux уязвимость, раскрывающую настоящие IP-адреса пользователей.
Проблему, получившую название TorMoil, обнаружил директор итальянской компании We Are Segment Филиппо Кавалларин (Filippo Cavallarin). На прошлой неделе исследователь конфиденциально уведомил о ней Tor Project, и организация совместно с разработчиками Firefox (браузер Tor создан на базе Firefox) выпустила обновление. Уязвимость исправлена в версии Tor 7.0.9, выпущенной в пятницу, 3 ноября. Проблема затрагивает только версии браузера для Mac и большинства дистрибутивов Linux (кроме Tails OS), а пользователи Windows могут не беспокоиться.
Как пояснил Кавалларин, уязвимость изначально присутствовала в Firefox и была связана с обработкой браузером URL-адресов file://. Для пользователей Firefox она не представляет никакой опасности, но для пользователей Tor является катастрофической. Когда пользователь переходит на особым образом созданную web-страницу, операционная система может подключиться к удаленному хосту напрямую в обход браузера Tor. В таком случае подключение происходит непосредственно, минуя сеть узлов Tor, и настоящий IP-адрес пользователя остается видимым.
Согласно заявлению Tor Project, в настоящее время никаких свидетельств эксплуатации TorMoil не обнаружено. Тем не менее, злоумышленники могут осуществить реверс-инжиниринг обновленной версии браузера и обнаружить исправленный код. Опытному программисту не составит труда на основании этого кода определить, как возникает уязвимость, и создать эксплоит.
Подробнее:
