Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума
Написать пост

В браузере Tor исправлена уязвимость, раскрывающая реальный IP-адрес пользователя

Новости Отредактировано

Проект Tor выпустил апдейт, исправляющий в браузере критическую уязвимость TorMoil.

1К открытий1К показов

Проект Tor выпустил обновление 7.0.9, устраняющее уязвимость браузера, раскрывающую реальный IP-адрес пользователей.

Уязвимость TorMoil

Уязвимость выявил Филиппо Кавалларин, главный исполнительный директор We Are Segment, итальянской компании, специализирующейся в вопросах кибербезопасности.

Кавалларин ещё 26 октября уведомил разработчиков проекта Tor об обнаружении уязвимости, которой он присвоил кодовое имя TorMoil. 3 ноября в Tor исправили эту дыру в безопасности браузера в новом релизе для пользователей Mac и Linux. По словам представителей Tor, Windows-версия не содержит эту уязвимость.

Проблема в ссылках вида «file://»

Кавалларин пояснил, что проблема скрывается в том, как Firefox, основа браузера Tor, обрабатывает ссылки вида file://. Хотя эта уязвимость и безвредна для всех браузеров Firefox, она является катастрофичной для Tor.

Как только пользователь браузера перейдёт по специально созданной ссылке, операционная система автоматически подключиться к указанному в ссылке удалённому хосту, минуя Tor-подключения. То есть все отправляемые пакеты не будут проходить через Tor-сеть, а IP-адрес подключенного пользователя станет доступен злоумышленникам.

Исправление уязвимости

Выпустив обновление 7.0.9, разработчики сделали лишь заплатку уязвимости, так и не решив проблему. По их словам, они должны тщательнее разобраться в проблеме. Обновление же призвано остановить возможность компрометации IP-адресов пользователей злоумышленниками. Исправление просто-напросто блокирует URL-ссылки file://. При необходимости открытия таковых пользователи должны вручную перетащить их адрес в новую вкладку браузера.

Уязвимость не получила широкое распространение

По заявлениям разработчиков Tor, найденная уязвимость пока не получила широкое распространение. Тем не менее, злоумышленники могут использовать реверс-инжиниринг двоичных файлов Tor для обнаружения исправленного кода. Любой хорошо разбирающийся программист сможет понять, что именно является причиной уязвимости, и создать для этого эксплойт.

Следите за новыми постами
Следите за новыми постами по любимым темам
1К открытий1К показов
Также рекомендуем
🔥 Internet Archive взломали. Утечка данных коснулась 31 млн пользователей
🔥 Internet Archive взломали. Утечка данных коснулась 31 млн пользователей
В результате хакерской атаки скомпрометированы данные 31 миллиона пользователей Internet Archive, включая электронные адреса и хэшированные пароли
🔥 Хакеры научились взламывать игроков «тапалки» Hamster Kombat
🔥 Хакеры научились взламывать игроков «тапалки» Hamster Kombat
Где популярность, там и особый интерес злоумышленников. Не обошло это правило и тапалку Hamster Kombat, чьи пользователи столкнулись со взломом хакеров
Telegram начнет передавать IP-адреса и данные по запросу, без суда
Telegram начнет передавать IP-адреса и данные по запросу, без суда
Telegram изменил политику конфиденциальности, позволяя передавать IP-адреса и номера телефонов пользователей по запросу властей без судебного постановления
OpenAI в центре внимания: уязвимости и хакерская атака
OpenAI в центре внимания: уязвимости и хакерская атака
Прошедшая неделя стала непростой для создателей ChatGPT, так как они дважды оказывались в центре внимания из-за проблем с безопасностью