Navegador Tor apresenta falha crítica

As versões Mac e Linux do navegador anônimo Tor acabaram de receber uma correção temporária para uma vulnerabilidade crítica que vazou os endereços IP dos usuários quando eles visitam certos tipos de endereços.

O TorMoil, como a falha foi dublada pelo seu descobridor, é desencadeada quando os usuários clicam em links que começam com o arquivo: // em vez dos prefixos de endereço https: // e http: // mais comuns. Quando o navegador Tor para MacOS e Linux está no processo de abertura de tal endereço, “o sistema operacional pode se conectar diretamente ao host remoto, ignorando Navegador Tor”, de acordo com uma breve publicação do blog publicada na terça-feira pela We Are Segment, a empresa de segurança  que relatou o erro para os desenvolvedores do Tor.

Na sexta-feira, membros do Tor Project emitiram um relatório temporário sobre o vazamento de IP. Até que a correção final esteja no lugar, as versões atualizadas do navegador podem não se comportar corretamente ao navegar para endereços arquivos: //. Eles disseram que ambas as versões do Windows de Tor, Tails e o navegador Torbox em sandbox que está em testes alfa não são vulneráveis.

“A correção que implementamos é apenas uma solução que interrompe o vazamento”, disseram funcionários do Tor em uma publicação anunciando o lançamento da sexta-feira. “Como resultado desse arquivo de navegação: // URLs no navegador pode não funcionar como esperado. Em particular, inserir arquivo: // URLs na barra de URL e clicar nos links resultantes é quebrado. Abrir em uma nova guia ou nova janela também não funciona. Uma solução alternativa para esses problemas é arrastar o link para a barra de URL ou em uma guia. ”

A publicação de sexta-feira continuou dizendo que o CEO da We Are Segment, Filippo Cavallarin, relatou a vulnerabilidade em 26 de outubro. Os desenvolvedores do Tor trabalharam com desenvolvedores da Mozilla para criar um trabalho no dia seguinte, mas funcionou apenas parcialmente. Eles terminaram o trabalho em uma solução mais completa na terça-feira. A publicação não explicou por que a correção, entregue no navegador Tor Browser 7.0.9 para usuários de Mac e Linux, não foi emitida até sexta-feira, três dias depois. O navegador Tor é baseado no navegador Firefox de fonte aberta da Mozilla. O vazamento de IP decorre de um bug do Firefox .

As autoridades da Tor também advertiram que versões alfa do navegador Tor para Mac e Linux ainda não receberam a correção. Eles disseram que tentaram programar um patch para entrar na segunda-feira para essas versões. Entretanto, as autoridades disseram que os usuários de Mac e Linux devem usar versões atualizadas da versão estável.

A declaração da Tor, na sexta-feira, disse que não há evidências de que a falha tenha sido ativamente explorada na Internet ou na Darkweb para obter os endereços IP ou usuários Tor. É claro que a falta de evidência não significa que a falha não tenha sido explorada por policiais ou investigadores privados. Agora que uma correção está disponível, será fácil para os adversários que não conheciam a vulnerabilidade antes de criar explorações de trabalho. Qualquer pessoa que confie em uma versão Mac ou Linux do navegador Tor para proteger seu endereço IP deve atualizar o mais rápido possível e estar pronto para a possibilidade, por mais remoto que seja, de queseus endereços IP já tenham sido vazados.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *