Un bug di Firefox permette di scoprire gli utenti di Tor

  • Facebook
  • Twitter
  • Linkedin
  • Email
Un bug di Firefox permette di scoprire gli utenti di Tor

Le versioni del browser Web Firefox che vanno dalla 41 alla 50 conterrebbero un bug attraverso il quale si potrebbero individuare gli utenti che navigano attraverso il network per l'anonimizzazione di Tor (The onion router); l'exploit necessario per effettuare tale operazioni sarebbe stato già reso pubblico dalla stessa community di Tor.

Per perpetrare l'attacco sarebbe sufficiente la pubblicazione di una pagina Web appositamente confezionata, quest'ultima dovrebbe contenere del codice scritto utilizzando standard comuni per Internet (HTML, JavaScript e CSS) e sfruttare una vulnerabilità legata alla corruzione della memoria che consente l'esecuzione di malware sui sistemi operativi di Microsoft.

Una volta aperta tale pagina Web su Firefox (o tramite Tor Browser), quest'ultima permetterebbe di rilevare l'indirizzo IP pubblico dell'utente in navigazione; una tecnica simile era stata utilizzata alcuni anni fa negli USA dagli agenti dell'FBI con lo scopo di smascherare una rete di pedopornografi che agivano tramite Darknet.

A livello tecnico l'exploit per lo sfruttamento di questo bug agirebbe sulla libreria chiamata "kernel32.dll" con lo scopo di ottenere una riallocazione della memoria in uso; dato che Tor Browser si basa sulla versione 45 ESR (Extended Support Release) del "Panda Rosso", anche questa applicazione è da considerarsi insicura fino al rilascio di un'apposita patch.

In attesa dell'aggiornamento risolutivo, sul quale gli sviluppatori della Fondazione Mozilla sarebbero già al lavoro, è possibile limitare il rischio di un exploit evitando di visitare pagine insicure, magari legate a servizi sconosciuti, in alternativa si dovrà disabilitare il supporto del proprio browser all'esecuzione di codice JavaScript.

Claudio Garau

Claudio Garau

Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Non perderti nessuna news!

I commenti degli utenti

I commenti sono liberi: non è necessario iscriversi per poter commentare su questa pagina. Tutti i commenti, tuttavia, sottoposti alle linee guida di moderazione e prima di essere visibili devono essere approvati da un moderatore.

Oppure leggi i commenti degli altri utenti