Linux en español
zero day
Noticias

Vulnerabilidad de Zero Day del navegador TOR revelada en Twitter

2 minutos de lectura

Una vulnerabilidad conocida como “Zero Day” para el navegador Tor fue revelada ayer en Twitter por Zerodium, una compañía que compra y vende software contra exploits.

Zerodium publicó los detalles de la vulnerabilidad que estaba presente en la extensión de Firefox NoScript (incorporada al navegador Tor), que evita que las páginas web ejecuten JavaScript, Flash o Silverlight.

HIT Closer

Aunque se supone que NoScript bloquea todo el JavaScript en su nivel de seguridad “más seguro”, existe una puerta trasera que los atacantes pueden aprovechar para suprimir NoScript y ejecutar códigos maliciosos de todos modos.

 

 

 

 

 

Sin embargo, este error se puede explotar en Tor Browser 7.x solamente porque la versión de Tor Browser 8.x recientemente publicado no se ve afectado por este error.

El motivo es el cambio de la base de código de Tor del antiguo núcleo de Firefox a la nueva plataforma Firefox Quantum. Las nuevas API complementarias protegen la versión 8 de esta vulnerabilidad.

Además, el complemento NoScript se reescribió el año pasado para hacerlo compatible con la nueva plataforma Firefox Quantum. Esta es la razón por la cual el exploit Zero Day en cuestión no funciona en la nueva serie Tor Browser 8.x.

Tras la revelación de Zerodim, la compañía ha lanzado una versión de NoScript “Classic” 5.1.8.7 para detener el vector de explotación de Zero Day.

Mientras tanto, el proyecto Tor ha emitido un comunicado oficial a ZDNet:

“Es un error en NoScript y no una explotación de Zero Day del navegador Tor que elude sus protecciones de privacidad. Para pasar por alto a Tor, todavía se necesitaría un exploit de navegador real “.

Sin embargo, es aconsejable que los usuarios de Tor instalen la actualización de NoScript o cambien a Tor Browser 8.x para una mejor seguridad.

Post original en: maslinux.es

Valorar post

Entradas relaccionadas

Lanzamiento de Win-KeX versión 2.0 para Kali Linux que se ejecuta en WSL 2

Linux en Español

Deepin 23 introduce grandes mejoras que abarcan el escritorio, las actualizaciones y el soporte de IA

Redacción

Los DNS de Cloudflare presentan problemas al pasar una Auditoria

Linux en Español

Kali Linux 2023.4 amplía su soporte, actualiza su base e incorpora nuevas herramientas

Redacción

Canonical lanza nuevas imágenes de Ubuntu 23.10 debido a unas «traducciones maliciosas»

Redacción

El navegador Vivaldi lanza su nueva versión 2.10

Linux en Español

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que está de acuerdo con esto, pero puede optar por no participar si lo desea. Aceptar Leer más

Política de privacidad y cookies