Bug in Torbrowser voor macOS en Linux lekt persoonlijk IP-adres gebruiker

Internetbeveiligingsbedrijf We Are Segment heeft een bug in de huidige Torbrowser gepubliceerd. Onder Linux [en ook Mac] kunnen in sommige gevallen de persoonlijke IP-adressen van een gebruiker prijsgegeven worden. De bug zit in Firefox - de browser waarop de Torbrowser gebaseerd is.

Het probleem zit in URLs van een bestand, ofwel die beginnend met “file://“. Bij bepaalde pagina's verbinden macOS en Linux direct met de remote host, waardoor het persoonlijke IP-adres gebruikt wordt voor de communicatie. Dat terwijl eigenlijk alle verbindingen via Tor zouden moeten gaan om de identiteit van de gebruiker niet bekend te maken. Dat is immers ook het doel van browsen via Tor.

We Are Segment heeft het lek gemeld bij de verantwoordelijken en publiceert nog geen details over de kwetsbaarheid, om zo te verhinderen dat er misbruik van gemaakt wordt. Er is op het moment van schrijven namelijk nog geen update beschikbaar. Voor een update adviseren we de pagina van Tor Project in de gaten te houden.

Er is inmiddels wel een update vrijgegeven met een tijdelijke oplossing, waarin de “file://“ URLs geblokkeerd zijn. Enkel het slepen van de link naar de adresbalk werkt nog. Deze update is in afwachting van een oplossing aan de kant van FireFox. Tor Project geeft aan dat er naar hun weten geen misbruik van de bug heeft plaatsgevonden. Meer informatie over de update naar versie 7.5a7 is hier te vinden.

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Niemand kent alle opties van alle commandline tools uit het hoofd. Het is belangrijker om te weten waar je de juist… https://t.co/4DwEhHOKBX
linuxmagNL Package management is één van de sterke punten van Linux in vergelijking met Windows en macOS. Linux Mint bevat eig… https://t.co/pLxEVxktdp
linuxmagNL Mailto-links voor webmail, Heimwee naar Unity, rc.local activeren in systemd & Schakel zwakke encryptie in OpenSSH… https://t.co/VL6XwCiP8O