The Tor Project heeft een lek gedicht in de Linux- en macOS-versies van zijn bekende browser. Met een kleine aanpassing aan een url kon het os overgehaald worden om niet via de Tor-browser, maar direct te verbinden met het adres, waardoor het ip-adres van de gebruiker blootgelegd word.
De bug, die afstamt van de Firefox-browser waar de Tor-browser op gebaseerd is, uit zich wanneer gebruikers naar een url navigeren die met 'file://' begint in plaats van 'http(s)://'. Wanneer dat gebeurt, wordt het verzoek tot verbinden doorgegeven aan het os, waardoor het ip-adres van de gebruiker zichtbaar wordt voor de buitenwereld, wat indruist tegen het hele idee van de Tor-browser. Misbruik hiervan maken is zo simpel als een url op een webpagina aanpassen. Het beveiligingsgat is in deze versies tijdelijk gedicht door de functionaliteit deels uit te schakelen.
Een definitieve update, die ook de nieuw ontstane bug rondom niet werkende 'file://'-url's moet verhelpen, moet nog volgen.
De alfaversie van de Tor-Browser voor Linux en macOS heeft de fix niet ontvangen. Deze komt naar verwachting op maandag uit. Gebruikers worden dan ook aangeraden om voor nu op de nieuwste stable-versie van de browser te gaan zitten.
Alles bij de bron; Tweakers