Tor Project выпустил патч для уязвимости, грозящей утечкой фактических IP-адресов пользователей браузера Tor, работающего под операционными системами macOS и Linux. Вечером прошлой пятницы компания опубликовала исправление, закрывшее дыру в версии 7.0.8 браузера Tor. Фактически патч представляет собой обновление до версии браузера Tor 7.0.9.

Пользователи Windows, использующие браузер Tor 7.0.8, вне опасности.

“Из-за уязвимости Firefox, связанной с обработкой ссылок вида “file://”, и в Linux, и в macOS может произойти утечка реальных IP-адресов. Если пользователь откроет определенным образом сконструированную ссылку, операционная система свяжется с удаленным узлом напрямую в обход браузера Tor”, — сказано в пятничной записи блога Tor Project. Согласно ей, баг неактуален для пользователей ОС Tails и браузеров Tor в песочнице.

Пока неясно, в опасности ли другие версии Tor или дело ограничилось только 7.0.8.

Честь открытия уязвимости принадлежит Филиппо Кавалларину (Filippo Cavallarin), генеральному директору WeAreSegment, который 26 октября уведомил о проблеме разработчиков Tor. Как сообщили специалисты Tor Project, уже на следующий день они с помощью программных инженеров Mozilla предложили временное решение.

“Во вторник 31 октября мы разработали дополнительное исправление для блокировки всех известных нам дыр. Насколько мы знаем, в дикой природе эту уязвимость пока никто не использовал”, — сообщил представитель Tor.

Помимо патча, включенного в состав Tor 7.0.9, рабочая группа Tor подготовила обновления для браузера альфа-серии, установленного под macOS и Linux, которые планировалось выпустить в понедельник.

Правда, по словам разработчиков, патч, включенный в Tor 7.0.9, имеет документированные проблемы. “Выпущенная нами заплатка — лишь временная мера для устранения утечки. Из-за нее может некорректно работать навигация по ссылкам file://”, — сообщил представитель команды Tor.

В июле Tor Project объявил о запуске открытой программы выплат за обнаружение багов, она же bug bounty. Цель этого начинания — привлечь как можно больше специалистов ИБ к поиску уязвимостей в ПО Tor. В предыдущей программе bug bounty можно было участвовать только по приглашению, однако нынешняя открыта для всех через платформу HackerOne. Прошлогодняя приватная инициатива уже помогла Tor Project пропатчить уязвимость нулевого дня, которая грозила пользователям Tor деанонимизацией и использовалась в дикой природе.

Категории: Главное, Уязвимости