Bug in Torbrowser voor macOS en Linux lekt persoonlijk IP-adres gebruiker

Internetbeveiligingsbedrijf We Are Segment heeft een bug in de huidige Torbrowser gepubliceerd. Onder Linux [en ook Mac] kunnen in sommige gevallen de persoonlijke IP-adressen van een gebruiker prijsgegeven worden. De bug zit in Firefox - de browser waarop de Torbrowser gebaseerd is.

Het probleem zit in URLs van een bestand, ofwel die beginnend met “file://“. Bij bepaalde pagina's verbinden macOS en Linux direct met de remote host, waardoor het persoonlijke IP-adres gebruikt wordt voor de communicatie. Dat terwijl eigenlijk alle verbindingen via Tor zouden moeten gaan om de identiteit van de gebruiker niet bekend te maken. Dat is immers ook het doel van browsen via Tor.

We Are Segment heeft het lek gemeld bij de verantwoordelijken en publiceert nog geen details over de kwetsbaarheid, om zo te verhinderen dat er misbruik van gemaakt wordt. Er is op het moment van schrijven namelijk nog geen update beschikbaar. Voor een update adviseren we de pagina van Tor Project in de gaten te houden.

Er is inmiddels wel een update vrijgegeven met een tijdelijke oplossing, waarin de “file://“ URLs geblokkeerd zijn. Enkel het slepen van de link naar de adresbalk werkt nog. Deze update is in afwachting van een oplossing aan de kant van FireFox. Tor Project geeft aan dat er naar hun weten geen misbruik van de bug heeft plaatsgevonden. Meer informatie over de update naar versie 7.5a7 is hier te vinden.

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL TEQnation, het evenement voor future tech! Dit evenement is opgesplitst in twee dagen met één dag puur voor Open... https://t.co/x7HFupU9G8
linuxmagNL Do you want to be recognized as a credible technology expert and innovative thinker? The Call for Papers for... https://t.co/ZjeLZwkfms
linuxmagNL SUSE breidt samenwerking met Amazon Web Services uit om SAP migraties naar Linux op AWS te versnellen Amazon Web... https://t.co/ETI9r3cEmD