Bug in Torbrowser voor macOS en Linux lekt persoonlijk IP-adres gebruiker

Internetbeveiligingsbedrijf We Are Segment heeft een bug in de huidige Torbrowser gepubliceerd. Onder Linux [en ook Mac] kunnen in sommige gevallen de persoonlijke IP-adressen van een gebruiker prijsgegeven worden. De bug zit in Firefox - de browser waarop de Torbrowser gebaseerd is.

Het probleem zit in URLs van een bestand, ofwel die beginnend met “file://“. Bij bepaalde pagina's verbinden macOS en Linux direct met de remote host, waardoor het persoonlijke IP-adres gebruikt wordt voor de communicatie. Dat terwijl eigenlijk alle verbindingen via Tor zouden moeten gaan om de identiteit van de gebruiker niet bekend te maken. Dat is immers ook het doel van browsen via Tor.

We Are Segment heeft het lek gemeld bij de verantwoordelijken en publiceert nog geen details over de kwetsbaarheid, om zo te verhinderen dat er misbruik van gemaakt wordt. Er is op het moment van schrijven namelijk nog geen update beschikbaar. Voor een update adviseren we de pagina van Tor Project in de gaten te houden.

Er is inmiddels wel een update vrijgegeven met een tijdelijke oplossing, waarin de “file://“ URLs geblokkeerd zijn. Enkel het slepen van de link naar de adresbalk werkt nog. Deze update is in afwachting van een oplossing aan de kant van FireFox. Tor Project geeft aan dat er naar hun weten geen misbruik van de bug heeft plaatsgevonden. Meer informatie over de update naar versie 7.5a7 is hier te vinden.

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Linux Nieuws: @SUSE bestaat 25 jaar en trakteert! Maak kans op entreeticket voor #SUSECON in Praag, zie link!… https://t.co/ENJKDvyZQ8
linuxmagNL De nieuwe editie van Linux Magazine is weer uit! Thema: bescherm jezelf tegen hackers met Linux. Veel leesplezier a… https://t.co/Zcy3Zdjb90
linuxmagNL Ook de Red Hat Forum BeNeLux 2017 mag je dit jaar niet missen. 10 oktober 2017, zet het in je agenda! https://t.co/niY9UdK3Ov