Tor Browser Zero-Day Exploit Revealed Online – Patch Now

Zerodium ได้เปิดเผยช่องโหว่ zero-day ใน Tor Browser ระดับความรุนแรงสูงให้ดำเนินการอัปเดต patch โดยด่วน

Zerodium แชร์ข้อมูลของช่องโหว่ที่อยู่ในปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับซอฟต์แวร์ Tor NoScript คือ ส่วนที่ทำหน้าที่บล็อกการทำงานของ JavaScript, Java, Flash และเนื้อหาอื่นๆ ที่เป็นอันตรายบนเว็บ ทั้งนี้ NoScript "Classic" รุ่น 5.0.4 ถึง 5.1.8.6 ที่มาพร้อมกับ Tor Browser รุ่น 7.5.6 มีช่องโหว่ทำให้แฮกเกอร์สามารถเรียกใช้ไฟล์ JavaScript เมื่อเปลี่ยน content-type header ของไฟล์ให้เป็นรูปแบบ JSON ทำให้สามารถระบุที่อยู่ IP จริงของผู้ใช้งานได้

อย่างไรก็ตาม Tor browser รุ่นล่าสุด หรือ Tor 8.0 จะไม่ได้รับความเสี่ยงจากข้อบกพร่องนี้เนื่องจากปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับ Tor browser รุ่นล่าสุดถูกปรับปรุงใหม่แล้ว จึงขอแนะนำให้ผู้ใช้ Tor รุ่น 7.x อัปเดตเบราว์เซอร์ของตนเป็น Tor 8.0

นอกจากนี้ NoScript ได้แก้ไขข้อบกพร่อง zero-day ดังกล่าวด้วยการเปิดตัว NoScript "Classic" version 5.1.8.7

ที่มา : The Hacker News