CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

06/11/2017

Vulnerabilidad en Tor Browser

El fallo detectado permitiría obtener las IPs reales de los usuarios.

Riesgo: Alto

Esta vulnerabilidad recibe el nombre de TorMoil y ha sido detectada en el navegador Mozilla Firefox, base de Tor Browser orientado a la navegación anónima.

El bug se encuentra en las URLs del tipo "file://". Al acceder a un sitio diseñado así, el sistema deja de utilizar la conexión de la red Tor y se revela la verdadera IP del usuario.

Aplicando el parche temporal, ese tipo de URLs dejarán de funcionar hasta obtener la solución definitiva.

Más información.

Sistemas Afectados:

Versiones 7.0.8 y anteriores de Tor Browser en sistemas macOS y Linux. 
La versión de Windows no se encuentra afectada.

Referencias:

None

Solución:

Tor Project ha lanzado la versión 7.0.9  con una solución temporal.

Notas:

The TorMoil Bug – Tor Browser Critical Security Vulnerability
https://www.wearesegment.com/news/the-tormoil-bug-torbrowser-critical-security-vulnerability/

Tor Browser 7.0.9 is released
https://blog.torproject.org/tor-browser-709-released

Fuente: Hispasec una-al-día

CSIRT-CV