أصدر مشروع تور تحديثا أمنيا لمتصفح تور على نظامي التشغيل ماك و لينوكس لإصلاح الثغرة الأمنية التي تسرب عناوين IP الحقيقي للمستخدمين.
تم رصد الضعف من Filippo Cavallarin ، الرئيس التنفيذي لشركة We Are Segment، وهي شركة إيطالية متخصصة في الأمن السيبراني والقرصنة الأخلاقية.
وأفاد Cavallarin سرا بهذه القضية - التي أطلق عليها اسم تورمويل - Tormoil - إلى مشروع تور الأسبوع الماضي. طور المطورين مشروع تور مع فريق فايرفوكس (ويستند متصفح تور على متصفح فايرفوكس) لاطلاق الإصلاح.
اليوم، أصدر فريق تور الإصدار 7.0.9 لمعالجة الضعف. متصفح تور 7.0.9 متاح فقط لمستخدمي ماك ولينكس. لا يتأثر متصفح تور على ويندوز.
تسرب IP الناجم عن "file://" links
وفقا لCavallarin، المشكلة هي في فايرفوكس والطريقة التي يتعامل المتصفح بها مع file:// URLs. في حين أن المسألة غير ضارة في فايرفوكس، انها كارثية في متصفح تور.
من خلال الاتصال مباشرة إلى الصفحة، فإن متصفح تور لا يذهب من خلال شبكة من التبديلات تور، وفضح عنوان IP الحقيقي للمستخدم.
تورمويل (حتى الآن) غير متاح للإستخدام في ميدان
قال مشروع تور اليوم فى بيان "اننا لسنا على علم بان هذا الضعف يستغل فى ميدان". ومع ذلك، يمكن للمهاجم عكس هندسة متصفح تور ثنائي وكشف التعليمات البرمجية مصححة. يمكن مبرمج جيدا دراية ثم فهم بسهولة جدا كيف يحدث خلل وخلق استغلال لذلك.
في حين أن معظم مستخدمي لينكس تتأثر، وقال فريق مشروع تور أن مستخدمي لينكس تشغيل متصفح تور على نظام التشغيل Tails OS لا يتأثر، وكذلك المستخدمين الاستفادة من نسخة sandboxed من متصفح تور.