Publican una vulnerabilidad zero-day hallada en Tor Browser
Tor Browser es un navegador fuertemente centrado en la privacidad, no solo porque hereda muchas de las características de Firefox, sino también por tener una serie de características para facilitar la utilización y navegación a través de la red Tor.
Sin embargo, a pesar de ser un software conocido dentro de su segmento, esto no quiere decir que Tor Browser sea perfecto, ya que Zerodium, el infame vendedor de vulnerabilidades y exploits, anunció de forma pública a través de Twitter el descubrimiento de un fallo zero-day en la mencionada aplicación que podría permitir la revelación de la identidad real del usuarios a los sitios que va visitando. Esto deriva una iniciativa puesta en marcha a principios de año por la empresa, que ha llegado a ofrecer 1 millón de dólares para quien descubriera una vulnerabilidad zero-day en el navegador.
Según ha mencionado Zerodium, la vulnerabilidad reside en el plugin NoScript, la cual viene incluida por defecto en Tor Browser y se encarga de bloquear JavaScript, Java, Flash y otros elementos maliciosos o potencialmente dañinos para el usuario, aunque ofrecido la posibilidad de añadir sitios web en una lista blanca. La empresa explica que el modo de seguridad más alto de las versiones “clásicas” de NoScript entre 5.0.4 y 5.1.8.6 puede ser saltado para ejecutar cualquier fichero JavaScript cambiando su encabezado de tipo de contenido a formato JSON, abriendo así la puerta para conocer la IP real.
Afortunadamente, de poco le servirá esta vulnerabilidad para quien esté interesado en explotarla, ya que en el reciente Tor Browser 8 no está presente al usar una versión de NoScript hecha para Firefox Quantum, por lo que se basa en un formato de API diferente. Esto quiere decir que con solo actualizar Tor Browser ya es suficiente para librarse del problema expuesto por Zerodium, y aquí también se puede recomendar la actualización de la extensión NoScript por parte de los usuarios de Firefox y navegadores derivados como Pale Moon.
No es la primera vez que mencionamos a Zerodium en MuySeguridad, ya que la misma empresa anunció en febrero de 2018 que pagaría hasta 45.000 dólares por exploits zero-day que fuesen descubiertos en Linux.
Fuente: The Hacker News
Via: www.muyseguridad.net