Zero-Day Exploit de TOR revelado en línea - Actualice ahora
Zerodium, el infame vendedor de exploits que a principios de este año ofreció $ 1 millón por presentar un exploit de día cero para Tor Browser, reveló públicamente ayer una falla crítica de día cero en el software de navegación anónimo que podría revelar su identidad a los sitios que visita.
En un Tweet, Zerodium compartió una vulnerabilidad de día cero que reside en el complemento del navegador NoScript que viene preinstalado con el Mozilla Firefox incluido en el software Tor.
En un Tweet, Zerodium compartió una vulnerabilidad de día cero que reside en el complemento del navegador NoScript que viene preinstalado con el Mozilla Firefox incluido en el software Tor.
NoScript es una extensión de navegador gratuita que bloquea JavaScript malintencionado, Java, Flash y otro contenido potencialmente peligroso en todas las páginas web de forma predeterminada, aunque los usuarios pueden incluir en la lista blanca los sitios en los que confían.
Según Zerodium, las versiones "Classic" NoScript 5.0.4 a 5.1.8.6 - con el nivel de seguridad "más seguro" habilitado - incluidas en Tor Browser 7.5.6 pueden omitirse para ejecutar cualquier archivo JavaScript cambiando su encabezado de tipo de contenido a Formato JSON.
En otras palabras, un sitio web puede aprovechar esta vulnerabilidad para ejecutar JavaScript malicioso en los navegadores Tor de las víctimas para identificar efectivamente su dirección IP real.
Cabe señalar que la última versión del navegador Tor, es decir, Tor 8.0, no es vulnerable a este defecto, ya que el complemento NoScript diseñado para la versión más nueva de Firefox ("Quantum") se basa en un formato de API diferente.
Por lo tanto, se recomienda encarecidamente a los usuarios de Tor 7.x que actualicen inmediatamente su navegador a la última versión de Tor 8.0.
NoScript también ha corregido la falla de día cero con el lanzamiento de la versión 5.1.8.7 de NoScript "Classic".
Fuente: https://thehackernews.com/