Tor Browser kon ip-adres Linux- en Mac-gebruikers lekken

[Captain Kirk]

Het Tor Project heeft een belangrijke update voor Tor Browser op Linux en macOS uitgebracht die een bug verhelpt waardoor het ip-adres van gebruikers kon lekken. De bug bevond zich in Firefox en deed zich voor bij het verwerken van url's die beginnen met file://.

Als de gebruiker een speciaal geprepareerde url zou openen kon het besturingssysteem direct verbinding met de server maken, waarbij Tor Browser werd omzeild. Het probleem speelde niet bij de Windows-versie en ook niet bij gebruikers van het privacybesturingssysteem Tails en de gesandboxte versie van Tor Browser. De bug werd op donderdag 26 oktober door onderzoeker Filippo Cavallarin aan het Tor Project gerapporteerd.

In samenwerking met Mozilla werd er de volgende dag een oplossing ontwikkeld. Deze oplossing bleek het lek echter gedeeltelijk te verhelpen. Afgelopen dinsdag 31 oktober werd er een aanvullende update ontwikkeld waarmee het lek wordt voorkomen. Het gaat hier om een 'workaround', die als neveneffect heeft dat file:// url's in bepaalde gevallen niet goed meer werken. Voor zover bekend is de kwetsbaarheid niet actief gebruikt om Tor Browser-gebruikers mee te ontmaskeren, zo laat het Tor Project verder weten. Gebruikers krijgen het advies om te updaten naar Tor Browser 7.0.9.