Zerodium, o infame fornecedor de exploits que no início deste ano ofereceu US $ 1 milhão para enviar uma exploração de dia zero para o Navegador Tor , revelou publicamente uma falha crítica de 0-day no software de navegação anônima que poderia revelar sua identidade aos sites que você visita.
Em um Tweet, o Zerodium compartilhou uma vulnerabilidade de dia zero que reside no plugin do navegador NoScript vem pré-instalado com o Mozilla Firefox incluído no software Tor.
O NoScript é uma extensão de navegador gratuita que bloqueia JavaScript, Java, Flash e outros conteúdos potencialmente perigosos em todas as páginas da Web por padrão, embora os usuários possam colocar sites na lista de permissões em que confiam.
De acordo com o Zerodium, o NoScript "Classic" versões 5.0.4 a 5.1.8.6 - com o nível de segurança "Safest" habilitado - incluído no Tor Browser 7.5.6 pode ser ignorado para executar qualquer arquivo JavaScript alterando seu cabeçalho de tipo de conteúdo para Formato JSON.
Em outras palavras, um site pode explorar esta vulnerabilidade para executar JavaScript mal-intencionado nos navegadores Tor das vítimas para identificar efetivamente seu endereço IP real.
Note-se que a última versão do navegador Tor, ou seja, Tor 8.0, não é vulnerável a esta falha, como o plugin NoScript projetado para a versão mais recente do Firefox ("Quantum") é baseado em um formato de API diferente.
Portanto, os usuários do Tor 7.x são altamente recomendados para atualizar imediatamente seu navegador para a versão mais recente do Tor 8.0.
O NoScript também corrigiu a falha de dia zero com o lançamento do NoScript "Classic" versão 5.1.8.7
FONTE:THEHACKERNEWS
Comentários
Postar um comentário