Er is een update uitgebracht voor de Tor Browser op Linux en macOS, waarmee een bug wordt verholpen die het ip-adres kon lekken van gebruikers van de browser. De bug zat in Mozilla Firefox.

URL

Wanneer gebruikers van Tor een geprepareerde URL die begon met file:// opende dan kon direct verbinding worden gemaakt tussen het besturingssysteem en de server, waarbij de Tor Browser niet werd gebruikt. Op 26 oktober werd de bug gerapporteerd aan het Tor Project door een beveiligingsonderzoeker.

Mozilla

Het Tor Project heeft initieel samen met Mozilla een oplossing bedacht en ontwikkeld, maar die wist het lek niet volledig te dichten. Daarom is op 31 oktober alsnog een workaround ontwikkeld die wel het effect heeft dat url’s die starten met file:// niet altijd meer goed werken.

Update browser

Waarschijnlijk is de kwetsbaarheid niet gebruikt om gebruikers te ontmaskeren, zo werd gemeld door het Tor Project. Wel wordt geadviseerd om de Tor Browser te updaten naar versie 7.0.9