Gli sviluppatori di Mozilla e Tor hanno deciso di pubblicare una nuova release per il browser Web Firefox che include una patch che va a risolvere una vulnerabilità alquanto critica. Questa, in sostanza, deanonima le persone che utilizzano il servizio di privacy offerto dal browser.
Un funzionario di Tor ha pubblicato una nota mercoledì pomeriggio dove ha riportato che la falla di sicurezza è stata già affrontata attivamente sui sistemi Windows e inoltre egli ha consigliato vivamente a tutti gli utenti di effettuare l’aggiornamento di Tor Browser in maniera immediata.
Firefox: Mozilla e Tor rilasciano una patch di sicurezza per il browser
Come molti di voi sicuramente sapranno, il browser Tor è basato sull’open source Firefox, il browser sviluppato dalla Mozilla Foundation. Poco dopo l’uscita di questa nota, Daniel Veditz, funzionario della sicurezza in Mozilla, ha pubblicato un post sul blog dove ha riportato che la vulnerabilità è stata risolta anche in una versione appena rilasciata di Firefox per gli utenti mainstream.
Veditz ha dichiarato di aver ricevuto una copia del codice che sfrutta una vulnerabilità precedentemente sconosciuta in Firefox. In particolare, l’attacco, eseguito tramite codice dannoso, avveniva quando gli utenti caricavano lo JavaScript.
L’exploit inviava l’indirizzo IP e MAC del malcapitato a un server controllato. Il codice dannoso assomiglia, in generale, a quelli impiegati nelle tecniche di indagine di rete dalle forze dell’ordine, e in particolare a quello che l’FBI ha utilizzato nel 2013 per identificare gli utenti protetti dal browser Tor che commerciavano materiale pornografico su un sito web.
Sempre Veditz ha riportato che tale somiglianza nei codici ha fatto sorgere alcune speculazioni circa la creazione di questo exploit da parte dell’FBI o di un’altra agenzia simile. Nel caso in cui questo codice dannoso sia stato sviluppato e distribuito da un’agenzia governativa, che può essere impiegato da chiunque per attaccare gli utenti di Firefox, è una chiara dimostrazione di come l’hacking può diventare una minaccia più ampia per il web.
L’exploit avrebbe colpito non solo il browser Firefox
Secondo le note di rilascio della versione 50.0.2, rilasciata nelle ultime ore, la vulnerabilità sottostante è indicizzata come CVE-2016-9079 ed è considerata critica. Un avviso di sicurezza di Mozilla ha dimostrato anche che questo exploit colpisce l’applicazione di posta elettronica Mozilla Thunderbird, così come la versione Firefox Extended Support utilizzato dal browser Tor.
Una discussione effettuata su un forum on-line per discutere circa il bug di Firefox ha indicato che questa falla esistita nella base del codice del browser da ben 5 anni. Oltre a un aggiornamento per Firefox, il rilascio di Tor include un aggiornamento di NoScript, un’estensione per Firefox che viene fornita con il browser Tor.
NoScript consente agli utenti di selezionare i siti che possono o non possono eseguire JavaScript nel browser. Per motivi di privacy ed usabilità, Tor ha inizialmente installato NoScript. Non è chiaro, inoltre, quale effetto porterà il nuovo aggiornamento sull’estensione.
Vi ricordiamo che seguirci è molto semplice: tramite la pagina ufficiale , tramite il nostro canale notizie Telegram , il nostro gruppo Telegram o iscrivendosi alla nostra rivista di Play Edicola. Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.