Navegador Tor

El navegador Tor es un must have para todo usuario que desee navegar por los remotos lares de la Internet Profunda. Este navegador, entre otras cosas, permite ocultar tu identidad rebotando tu conexión de un servidor a otro, haciéndote (en cierto modo) irrastreable. Sin embargo, la tecnología no es perfecta y puede fallar cuando menos te lo esperas.

Zerodium, una plataforma de compra y venta de exploits y vulnerabilidades, ha publicado en su perfil de Twitter que ha detectado una vulnerabilidad Día Cero en el navegador Tor que permite saltarse las medidas de protección a través de una puerta trasera, lo que permitiría ejecutar código malicioso de forma remota.

Saltándose las medidas de protección de Tor para ejecutar código malicioso

De acuerdo a Zerodium, esta vulnerabilidad ha sido detectada en la versión 7 del navegador Tor, aunque se ha parcheado en la versión 8. Dicho fallo de seguridad permite ejecutar código malicioso incluso cuando la extensión NoScript, que bloquea la ejecución de código JavaScript, está activada. Para ello, basta configurar el “Content-Type” de una web como “text/html;/json”. Este exploit no hace nada per se, ya que debe encadenarse con otros exploits que se encarguen de sacarle provecho, pero Zerodium lo describe como un “fallo grave”.

Por lo visto, la empresa ha estado al tanto de esta vulnerabilidad desde hace unos meses, pero no la ha revelado porque, al fin y al cabo, ganar dinero gracias a ellas es su modelo de negocio. Así, en una entrevista concedida al medio ZDNet, confirman haberla hecho pública por haber llegado esta al “final de su vida”. De la misma forma, reconocen haberla desvelado para “concienciar de la falta (o insuficiencia) de auditorías de seguridad de los componentes principales del navegador Tor”.

El twittero @x0rz, investigador de seguridad, ha publicado en su perfil un vídeo de apenas 20 segundos en el que muestra lo fácil que es sacar provecho de esta vulnerabilidad. Por su parte, el desarrollador de la extensión NoScript ha confirmado haber lanzado un parche compatible con Tor Browser 7 que se puede descargar desde ya.

La historia se repite

No es la primera vez que escuchamos hablar de este tipo de fallos en las últimas semanas. El 28 de agosto nos hicimos eco de una vunerabilidad 0-Day descubierta en Windows 10 que permitía escalar privilegios a través del programador de tareas.

El usuario @SandboxEscaper se hizo eco de ella en su Twitter advirtiendo que ni siquiera pensaba reportarla a Microsoft (quizá porque había estado tanteando el terreno para venderla a través de Reddit). Microsoft reconoció la existencia de esta, cuya puntuación CVSS era de 6.4 – 6.8, lo que la califica como vulnerabilidad de “severidad moderada”.

En Genbeta | Cómo navegar de forma anónima en Internet con Tor Browser

También te recomendamos


Un par de chicos listos: smartphones y smart TVs, la revolución del ocio tecnológico mano a mano


Los exploits de la NSA que aprovechó WannaCrypt ya se usaron antes y a mayor escala


El PP quiere crear una “milicia civil” de hackers que colabore con las autoridades


La noticia

Descubren una vulnerabilidad Zero Day en el navegador Tor y la revelan porque ya no ganarán dinero con ella

fue publicada originalmente en

Genbeta

por
José García Nieto

.

Powered by WPeMatico

Aquí puedes comentar sobre este artículo

comentarios

Esta web utiliza cookies . Si continuas navegando estás aceptándola