Gli sviluppatori di Mozilla e Tor hanno deciso di pubblicare una nuova release per il browser Web Firefox che include una patch che va a risolvere una vulnerabilità alquanto critica. Questa, in sostanza, deanonima le persone che utilizzano il servizio di privacy offerto dal browser.
Un funzionario di Tor ha pubblicato una nota mercoledì pomeriggio dove ha riportato che la falla di sicurezza è stata già affrontata attivamente sui sistemi Windows e inoltre egli ha consigliato vivamente a tutti gli utenti di effettuare l’aggiornamento di Tor Browser in maniera immediata.
Come molti di voi sicuramente sapranno, il browser Tor è basato sull’open source Firefox, il browser sviluppato dalla Mozilla Foundation. Poco dopo l’uscita di questa nota, Daniel Veditz, funzionario della sicurezza in Mozilla, ha pubblicato un post sul blog dove ha riportato che la vulnerabilità è stata risolta anche in una versione appena rilasciata di Firefox per gli utenti mainstream.
Veditz ha dichiarato di aver ricevuto una copia del codice che sfrutta una vulnerabilità precedentemente sconosciuta in Firefox. In particolare, l’attacco, eseguito tramite codice dannoso, avveniva quando gli utenti caricavano lo JavaScript.
L’exploit inviava l’indirizzo IP e MAC del malcapitato a un server controllato. Il codice dannoso assomiglia, in generale, a quelli impiegati nelle tecniche di indagine di rete dalle forze dell’ordine, e in particolare a quello che l’FBI ha utilizzato nel 2013 per identificare gli utenti protetti dal browser Tor che commerciavano materiale pornografico su un sito web.
Sempre Veditz ha riportato che tale somiglianza nei codici ha fatto sorgere alcune speculazioni circa la creazione di questo exploit da parte dell’FBI o di un’altra agenzia simile. Nel caso in cui questo codice dannoso sia stato sviluppato e distribuito da un’agenzia governativa, che può essere impiegato da chiunque per attaccare gli utenti di Firefox, è una chiara dimostrazione di come l’hacking può diventare una minaccia più ampia per il web.
Secondo le note di rilascio della versione 50.0.2, rilasciata nelle ultime ore, la vulnerabilità sottostante è indicizzata come CVE-2016-9079 ed è considerata critica. Un avviso di sicurezza di Mozilla ha dimostrato anche che questo exploit colpisce l’applicazione di posta elettronica Mozilla Thunderbird, così come la versione Firefox Extended Support utilizzato dal browser Tor.
Una discussione effettuata su un forum on-line per discutere circa il bug di Firefox ha indicato che questa falla esistita nella base del codice del browser da ben 5 anni. Oltre a un aggiornamento per Firefox, il rilascio di Tor include un aggiornamento di NoScript, un’estensione per Firefox che viene fornita con il browser Tor.
NoScript consente agli utenti di selezionare i siti che possono o non possono eseguire JavaScript nel browser. Per motivi di privacy ed usabilità, Tor ha inizialmente installato NoScript. Non è chiaro, inoltre, quale effetto porterà il nuovo aggiornamento sull’estensione.
Vi ricordiamo che seguirci è molto semplice: tramite la pagina ufficiale
La PlayStation 5 è stata lanciata il 19 novembre 2020 in Italia, una settimana dopo…
Dopo 16 anni dal suo arrivo sul mercato, iPhone 2G torna a sconvolgere la vita…
Con l'acquisizione di Activision oramai andata in porto, Microsoft e Sony hanno finalmente firmato uno…
L'operatore virtuale di Vodafone torna alla carica e questa volta prova a tentare i clienti…
Google ha annunciato oggi l'arrivo di Bard anche in Europa e in Italia, dopo la…
L'accesso a Internet è diventato fondamentale nella nostra società sempre più digitale. Per garantire una…
