Tor Browser 7.0.9 a été publié pour colmater la failler TorMoil dans le navigateur
Qui laisse fuiter les adresses IP réelles des utilisateurs

Le , par Stéphane le calme, Chroniqueur Actualités
Le projet Tor a publié un correctif pour une vulnérabilité qui laisse fuiter les adresses IP réelles des utilisateurs macOS et Linux de son navigateur Tor. Le correctif a été publié vendredi soir et corrige une vulnérabilité trouvée dans Tor Browser version 7.0.8. Le correctif est dans une mise à niveau vers Tor Browser 7.0.9. Précisons que les responsables du projet ont assuré que « les utilisateurs de Tails et les utilisateurs de notre navigateur sandbox ne sont pas affectés. »

« En raison d'un bogue de Firefox dans la manipulation des URL “file: //” il est possible sur les deux systèmes que les utilisateurs laissent fuiter leur adresse IP. Une fois qu'un utilisateur affecté accède à une URL spécialement conçue, le système d'exploitation peut se connecter directement à l'hôte distant, en ignorant le navigateur Tor », a expliqué le projet dans une note.

La vulnérabilité a été repérée par Filippo Cavallarin, PDG de We Are Segment, une société italienne spécialisée dans la cybersécurité. Cavallarin a rapporté le problème, baptisé TorMoil, au projet Tor la semaine dernière. Les développeurs du projet Tor ont travaillé avec l'équipe de Firefox (Tor Browser est basé sur le navigateur Firefox) pour publier un correctif.

Dans un premier temps, l’équipe a publié une solution d’atténuation : « Le bogue nous a été rapporté le jeudi 26 octobre par Filippo Cavallarin. Nous avons créé une solution d’atténuation avec l'aide des ingénieurs de Mozilla le jour suivant qui, hélas, n'a colmaté que partiellement la brèche. Nous avons mis au point une solution supplémentaire le mardi 31 octobre en colmatant toutes les failles connues. Nous ne sommes pas au fait d’une quelconque exploitation de cette vulnérabilité dans la nature. »

Le projet s’était alors fixé une date butoir pour diffuser le correctif aux utilisateurs : « Nous préparons actuellement des paquets de mises à jour macOS et Linux pour notre série alpha qui sera provisoirement disponible le lundi 6 novembre. En attendant, les utilisateurs de macOS et Linux de cette série sont fortement encouragés à utiliser les paquets stables ou l'un des outils mentionnés ci-dessus qui ne sont pas affectés par le problème sous-jacent. »

Finalement, hier, l’équipe a annoncé la disponibilité de Tor Browser 7.0.9 qui vient corriger le problème de fuite. Étant donné que la version du navigateur Tor sous Windows n'est pas affectée, la mise à jour de sécurité n’a été déployée que sur macOS et Linux.

Source : Tor


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de captaindidou captaindidou - Membre confirmé https://www.developpez.com
le 05/11/2017 à 13:59
Merde alors !!

Moi qui avait acheté pour 50 kg d'armes.

Me voilà bien maintenant !

Merci TOR !
#Balance ton TOR
Avatar de mm_71 mm_71 - Membre averti https://www.developpez.com
le 05/11/2017 à 14:35
Une fois qu'un utilisateur affecté accède à une URL spécialement conçue
Que veulent t-ils dire par là ? Un nœud relais, un nœud de sortie, un site corrompu ?
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 05/11/2017 à 17:30
Citation Envoyé par mm_71 Voir le message
Que veulent t-ils dire par là ? Un nœud relais, un nœud de sortie, un site corrompu ?
Le bug permet de bypasser le système Tor et l'OS se connecte directement au site. Les noeuds ne sont pas concernés.
Avatar de mm_71 mm_71 - Membre averti https://www.developpez.com
le 05/11/2017 à 19:13
Bon, j'ai trouvé:

TorMoil est déclenché lorsque les utilisateurs cliquent sur les liens commençant par les adresses file: //, au lieu des adresses plus courantes https: // et http: //.
http://quoideneuf1.over-blog.com/201...ilisateur.html

Ça ne doit pas concerner grand monde.
Contacter le responsable de la rubrique Accueil