Navegador Tor atualizado para resolver falha crítica de controle do sistema

Navegador Tor atualizado para resolver falha crítica de controle do sistema

20 de junho de 2019 Off Por Suporte Rede Digital

A atualização corrige falha crítica (CVE-2019-11707), uma vulnerabilidade de confusão de tipo no código do Mozilla Firefox que o Tor usa.

O Navegador Tor foi atualizado para a versão 8.5.2, para resolver uma falha de segurança crítica no navegador Firefox da Mozilla, que está sob exploração ativa.

A falha crítica (CVE-2019-11707) é uma vulnerabilidade de confusão de tipo no Array.pop, que é um método de matriz usado em objetos JavaScript no Firefox. A vulnerabilidade, divulgada e corrigida no início desta semana, permite que os cibercriminosos assumam o controle total dos sistemas que executam as vulneráveis ​​versões do Firefox.

A questão afeta a Tor, uma vez que, como seus fundadores disseram em 2016, o Firefox está no coração do navegador de cebolas focado em privacidade.

“Se você usou o Tor, provavelmente usou o Tor Browser e, se usou o Tor Browser, usou o Firefox”, disseram eles em uma postagem . “Por linhas de código, o Tor Browser é basicamente o Firefox – existem algumas modificações e algumas adições, mas cerca de 95% do código no Tor Browser vem do Firefox.”

O lançamento do Android para o Tor não estará disponível até este final de semana, disse o projeto, por causa das viagens da equipe.

“Enquanto isso, os usuários do Android devem usar os níveis de segurança mais seguros ou mais seguros”, disse Tor em uma atualização na quinta-feira. “O nível de segurança no Android pode ser alterado indo no menu à direita da barra de URL e selecionando Configurações de segurança”.

Atualizações rápidas são recomendadas, uma vez que o bug do Firefox está sendo explorado ativamente em ataques direcionados contra funcionários da Coinbase – e potencialmente outras organizações de criptomoeda.

“Na segunda-feira, 17 de junho de 2019, a Coinbase relatou uma vulnerabilidade usada como parte de ataques direcionados para uma campanha de spear phishing”, disse Selena Deckelmann, diretora sênior do Firefox Browser Engineering, ao Threatpost. “Em menos de 24 horas, lançamos uma correção para a exploração”.

Enquanto isso, o Tor também atualizou o NoScript para o 10.6.3, “corrigindo alguns problemas” – a atualização significa que ele não bloqueia mais o MP4 em níveis mais altos de segurança e impede que o cross-site scripting (XSS) bloqueie o navegador.