Une vulnérabilité affectant le navigateur Tor a été révélée sur Twitter

Une vulnérabilité affectant le navigateur Tor a été révélée sur Twitter

La vulnérabilité affectant le navigateur Tor a été révélée sur Twitter par la société Zerodium, spécialisée dans la revente de code d’exploitation.

Cette faille de sécurité existait au sein de l’extension « NoScript », un plugin empêchant l’exécution de fichiers JavaScript, Flash, Java ou Silverlight sur les pages web visitées. Elle affecte la version 7.x du navigateur Tor.

Pour exploiter cette vulnérabilité, un attaquant devait créer une page ou un service dans le réseau Tor avec le champ « Content-Type » contenant la valeur « text/html;/json ».

Le bug fonctionnait même lorsque la configuration de l’extension « NoScript » avait le niveau de sécurité le plus élevé. Cette vulnérabilité pouvait potentiellement être combinée à une autre permettant alors de démasquer l’identité réelle des utilisateurs du réseau.

La version 8 du navigateur, publiée récemment, est basée sur le « Firefox Quantum engine » et n’est ainsi pas vulnérable à cette faille de sécurité.


Référence

https://www.bleepingcomputer.com/news/security/exploit-affecting-tor-browser-burned-in-a-tweet/
https://twitter.com/Zerodium/status/1039127214602641409


Jean-Christophe Pellat

Cert-XMCO