Le projet Tor publie une mise à jour 7.0.9 pour le navigateur Tor Browser. Les utilisateurs sur macOS et Linux doivent l'appliquer d'urgence, alors que ceux sur Windows ne sont pas concernés. La faute à une vulnérabilité de sécurité au nom de code TorMoil.

Tor-Project-HackerOne La faille est en rapport avec un bug affectant Firefox. Rappelons que pour naviguer sur le réseau d'anonymisation Tor, le logiciel Tor Browser s'appuie sur Firefox ESR. Le bug se situe au niveau du traitement des liens file:// (dans une adresse).

Le souci est sans conséquence grave pour Firefox, mais c'est une tout autre affaire dans Tor Browser avec la possibilité d'une fuite de l'adresse IP réelle de l'utilisateur. " Quand un utilisateur affecté accède à une URL spécialement conçue, le système d'exploitation peut se connecter directement à l'hôte distant, en contournant Tor Browser. "

Tor Project souligne que les utilisateurs de la distribution Tails et avec Tor Browser en version sandboxed ne sont pas affectés. Le problème a été rapporté par Filippo Cavallarin de We Are Segment le 26 octobre.

Le lendemain, une mesure d'atténuation a été développée avec des ingénieurs de Mozilla, mais c'est le 31 octobre qu'un patch complet a été mis au point. Il n'y a pas de rapport au sujet d'une exploitation de la vulnérabilité dans des attaques.

L'année dernière, le projet Tor a inauguré un programme de bug bounty. Uniquement sur invitation, il a été rendu public cette été, toujours via la plateforme HackerOne.