Tor Browser 7.0.9 a été publié pour colmater la failler TorMoil dans le navigateur
Qui laisse fuiter les adresses IP réelles des utilisateurs
Le 2017-11-04 23:23:10, par Stéphane le calme, Chroniqueur Actualités
Le projet Tor a publié un correctif pour une vulnérabilité qui laisse fuiter les adresses IP réelles des utilisateurs macOS et Linux de son navigateur Tor. Le correctif a été publié vendredi soir et corrige une vulnérabilité trouvée dans Tor Browser version 7.0.8. Le correctif est dans une mise à niveau vers Tor Browser 7.0.9. Précisons que les responsables du projet ont assuré que « les utilisateurs de Tails et les utilisateurs de notre navigateur sandbox ne sont pas affectés. »
« En raison d'un bogue de Firefox dans la manipulation des URL “file: //” il est possible sur les deux systèmes que les utilisateurs laissent fuiter leur adresse IP. Une fois qu'un utilisateur affecté accède à une URL spécialement conçue, le système d'exploitation peut se connecter directement à l'hôte distant, en ignorant le navigateur Tor », a expliqué le projet dans une note.
La vulnérabilité a été repérée par Filippo Cavallarin, PDG de We Are Segment, une société italienne spécialisée dans la cybersécurité. Cavallarin a rapporté le problème, baptisé TorMoil, au projet Tor la semaine dernière. Les développeurs du projet Tor ont travaillé avec l'équipe de Firefox (Tor Browser est basé sur le navigateur Firefox) pour publier un correctif.
Dans un premier temps, l’équipe a publié une solution d’atténuation : « Le bogue nous a été rapporté le jeudi 26 octobre par Filippo Cavallarin. Nous avons créé une solution d’atténuation avec l'aide des ingénieurs de Mozilla le jour suivant qui, hélas, n'a colmaté que partiellement la brèche. Nous avons mis au point une solution supplémentaire le mardi 31 octobre en colmatant toutes les failles connues. Nous ne sommes pas au fait d’une quelconque exploitation de cette vulnérabilité dans la nature. »
Le projet s’était alors fixé une date butoir pour diffuser le correctif aux utilisateurs : « Nous préparons actuellement des paquets de mises à jour macOS et Linux pour notre série alpha qui sera provisoirement disponible le lundi 6 novembre. En attendant, les utilisateurs de macOS et Linux de cette série sont fortement encouragés à utiliser les paquets stables ou l'un des outils mentionnés ci-dessus qui ne sont pas affectés par le problème sous-jacent. »
Finalement, hier, l’équipe a annoncé la disponibilité de Tor Browser 7.0.9 qui vient corriger le problème de fuite. Étant donné que la version du navigateur Tor sous Windows n'est pas affectée, la mise à jour de sécurité n’a été déployée que sur macOS et Linux.
Source : Tor
« En raison d'un bogue de Firefox dans la manipulation des URL “file: //” il est possible sur les deux systèmes que les utilisateurs laissent fuiter leur adresse IP. Une fois qu'un utilisateur affecté accède à une URL spécialement conçue, le système d'exploitation peut se connecter directement à l'hôte distant, en ignorant le navigateur Tor », a expliqué le projet dans une note.
La vulnérabilité a été repérée par Filippo Cavallarin, PDG de We Are Segment, une société italienne spécialisée dans la cybersécurité. Cavallarin a rapporté le problème, baptisé TorMoil, au projet Tor la semaine dernière. Les développeurs du projet Tor ont travaillé avec l'équipe de Firefox (Tor Browser est basé sur le navigateur Firefox) pour publier un correctif.
Dans un premier temps, l’équipe a publié une solution d’atténuation : « Le bogue nous a été rapporté le jeudi 26 octobre par Filippo Cavallarin. Nous avons créé une solution d’atténuation avec l'aide des ingénieurs de Mozilla le jour suivant qui, hélas, n'a colmaté que partiellement la brèche. Nous avons mis au point une solution supplémentaire le mardi 31 octobre en colmatant toutes les failles connues. Nous ne sommes pas au fait d’une quelconque exploitation de cette vulnérabilité dans la nature. »
Le projet s’était alors fixé une date butoir pour diffuser le correctif aux utilisateurs : « Nous préparons actuellement des paquets de mises à jour macOS et Linux pour notre série alpha qui sera provisoirement disponible le lundi 6 novembre. En attendant, les utilisateurs de macOS et Linux de cette série sont fortement encouragés à utiliser les paquets stables ou l'un des outils mentionnés ci-dessus qui ne sont pas affectés par le problème sous-jacent. »
Finalement, hier, l’équipe a annoncé la disponibilité de Tor Browser 7.0.9 qui vient corriger le problème de fuite. Étant donné que la version du navigateur Tor sous Windows n'est pas affectée, la mise à jour de sécurité n’a été déployée que sur macOS et Linux.
Source : Tor
-
captaindidouInactifMerde alors !!
Moi qui avait acheté pour 50 kg d'armes.
Me voilà bien maintenant !
Merci TOR !
#Balance ton TORle 05/11/2017 à 13:59 -
mm_71Membre chevronnéQue veulent t-ils dire par là ? Un nœud relais, un nœud de sortie, un site corrompu ?Une fois qu'un utilisateur affecté accède à une URL spécialement conçuele 05/11/2017 à 14:35
-
NamicaMembre expérimentéLe bug permet de bypasser le système Tor et l'OS se connecte directement au site. Les noeuds ne sont pas concernés.le 05/11/2017 à 17:30
-
mm_71Membre chevronnéBon, j'ai trouvé:http://quoideneuf1.over-blog.com/201...ilisateur.htmlTorMoil est déclenché lorsque les utilisateurs cliquent sur les liens commençant par les adresses file: //, au lieu des adresses plus courantes https: // et http: //.
Ça ne doit pas concerner grand monde.le 05/11/2017 à 19:13