Bug in Torbrowser voor macOS en Linux lekt persoonlijk IP-adres gebruiker

Internetbeveiligingsbedrijf We Are Segment heeft een bug in de huidige Torbrowser gepubliceerd. Onder Linux [en ook Mac] kunnen in sommige gevallen de persoonlijke IP-adressen van een gebruiker prijsgegeven worden. De bug zit in Firefox – de browser waarop de Torbrowser gebaseerd is.

Het probleem zit in URLs van een bestand, ofwel die beginnend met “file://“. Bij bepaalde pagina’s verbinden macOS en Linux direct met de remote host, waardoor het persoonlijke IP-adres gebruikt wordt voor de communicatie. Dat terwijl eigenlijk alle verbindingen via Tor zouden moeten gaan om de identiteit van de gebruiker niet bekend te maken. Dat is immers ook het doel van browsen via Tor.

We Are Segment heeft het lek gemeld bij de verantwoordelijken en publiceert nog geen details over de kwetsbaarheid, om zo te verhinderen dat er misbruik van gemaakt wordt. Er is op het moment van schrijven namelijk nog geen update beschikbaar. Voor een update adviseren we de pagina van Tor Project in de gaten te houden.

Er is inmiddels wel een update vrijgegeven met een tijdelijke oplossing, waarin de “file://“ URLs geblokkeerd zijn. Enkel het slepen van de link naar de adresbalk werkt nog. Deze update is in afwachting van een oplossing aan de kant van FireFox. Tor Project geeft aan dat er naar hun weten geen misbruik van de bug heeft plaatsgevonden. Meer informatie over de update naar versie 7.5a7 is hier te vinden.