Una vulnerabilidad conocida como “Zero Day” para el navegador Tor fue revelada ayer en Twitter por Zerodium, una compañía que compra y vende software contra exploits.
Zerodium publicó los detalles de la vulnerabilidad que estaba presente en la extensión de Firefox NoScript (incorporada al navegador Tor), que evita que las páginas web ejecuten JavaScript, Flash o Silverlight.
Aunque se supone que NoScript bloquea todo el JavaScript en su nivel de seguridad “más seguro”, existe una puerta trasera que los atacantes pueden aprovechar para suprimir NoScript y ejecutar códigos maliciosos de todos modos.
Sin embargo, este error se puede explotar en Tor Browser 7.x solamente porque la versión de Tor Browser 8.x recientemente publicado no se ve afectado por este error.
El motivo es el cambio de la base de código de Tor del antiguo núcleo de Firefox a la nueva plataforma Firefox Quantum. Las nuevas API complementarias protegen la versión 8 de esta vulnerabilidad.
Además, el complemento NoScript se reescribió el año pasado para hacerlo compatible con la nueva plataforma Firefox Quantum. Esta es la razón por la cual el exploit Zero Day en cuestión no funciona en la nueva serie Tor Browser 8.x.
Tras la revelación de Zerodim, la compañía ha lanzado una versión de NoScript “Classic” 5.1.8.7 para detener el vector de explotación de Zero Day.
Mientras tanto, el proyecto Tor ha emitido un comunicado oficial a ZDNet:
“Es un error en NoScript y no una explotación de Zero Day del navegador Tor que elude sus protecciones de privacidad. Para pasar por alto a Tor, todavía se necesitaría un exploit de navegador real “.
Sin embargo, es aconsejable que los usuarios de Tor instalen la actualización de NoScript o cambien a Tor Browser 8.x para una mejor seguridad.
