Uma vulnerabilidade “zero-day” no navegador Tor foi recentemente revelada no Twitter pela conta Zerodium – empresa que vende e compra exploits em software diverso.
De acordo com a Zerodium, a vulnerabilidade encontrava-se sobre a extensão “NoScript”, utilizada para bloquear o carregamento de ficheiros javascript durante a navegação na rede – e a qual se encontra ativa por padrão no navegador Tor.
Apesar de a função mais segura desta extensão referir bloquear todos os scripts, existia uma falha que poderia permitir aos websites continuarem a apresentar scripts mesmo assim, podendo levar a que código malicioso fosse executado no sistema.
A falha foi descoberta sobre a versão 7.X do navegador Tor, sendo que a versão 8 mais recente não se encontra afetada. Segundo o Projeto Tor, a falha encontra-se sobre a extensão “NoScript” e não diretamente relacionada com o navegador.
Em todo o caso, pouco depois de a vulnerabilidade ter sido revelada, os programadores da extensão lançaram uma correção para o problema. Os utilizadores apenas necessitam de se certificar que as suas extensões estão atualizadas nas versões mais recentes.
