Zerodium ha reso pubblica una vulnerabilità zero-day di Tor Browser: Patch ora

Zerodium ha reso pubblica una vulnerabilità zero-day di Tor Browser: Patch ora

Zerodium ha reso pubblica una vulnerabilità zero-day di Tor Browser: Patch ora

Zerodium ovvero l’infame produttore di exploit che all’inizio di quest’anno offriva 1 milione di dollari per aver presentato una vulnerabilità di tipo zero-day per Tor Browser, ha rivelato pubblicamente un difetto critico zero-day nel software di navigazione anonima che potrebbe rivelare la tua identità ai siti che visiti.

In un Tweet, Zerodium ha condiviso una vulnerabilità di tipo zero-day che risiede nel plug-in per browser NoScript fornito preinstallato con Mozilla Firefox in bundle nel software Tor.

NoScript è un’estensione del browser gratuita che blocca automaticamente JavaScript pericoloso, Java, Flash e altri contenuti potenzialmente pericolosi su tutte le pagine Web, sebbene gli utenti possano autorizzare i siti di cui si fidano.

Secondo Zerodium, le versioni Classic di NoScript dalla 5.0.4 alla 5.1.8.6 – con il livello di sicurezza Safest abilitato – incluso in Tor Browser 7.5.6 possono essere bypassate per eseguire qualsiasi file JavaScript cambiando l’intestazione del tipo di contenuto in Formato JSON.

In altre parole, un sito Web può sfruttare questa vulnerabilità per eseguire JavaScript dannoso su Tor Browser delle vittime per identificare efficacemente il loro vero indirizzo IP.

Va notato che l’ultima versione di Tor Browser, ad esempio Tor 8.0, non è vulnerabile a questo difetto, in quanto il plug-in per browser NoScript progettato per la versione più recente di Mozilla Firefox ovvero Quantum si basa su un diverso formato API.

Pertanto, si raccomanda vivamente agli utenti di Tor 7.x di aggiornare immediatamente il proprio browser all’ultima versione di Tor 8.0.

NoScript ha anche corretto il difetto zero-day con il rilascio di NoScript Classic versione 5.1.8.7.

Altri contenuti di Informatica


Cisco ha rilasciato Aggiornamenti delle patch di sicurezza per 32 vulnerabilità nei suoi prodotti

Google traccia in modo segreto ciò che acquisti offline utilizzando Dati Mastercard

Operatore BTC-e accusato di riciclaggio di $ 4 miliardi, da estradare in Francia

Google ha abilitato la funzionalità Isolamento del sito per impostazione predefinita per gli utenti di Chrome Desktop

Sono state rilevate due nuove vulnerabilità della CPU di classe Spectre: Intel paga 100.000 dollari di taglia

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat