+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 125
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 125
    Points : 70 945
    Points
    70 945

    Par défaut Tor Browser 7.0.9 a été publié pour colmater la faille TorMoil dans le navigateur

    Tor Browser 7.0.9 a été publié pour colmater la faille TorMoil dans le navigateur,
    qui laisse fuiter les adresses IP réelles des utilisateurs

    Le projet Tor a publié un correctif pour une vulnérabilité qui laisse fuiter les adresses IP réelles des utilisateurs macOS et Linux de son navigateur Tor. Le correctif a été publié vendredi soir et corrige une vulnérabilité trouvée dans Tor Browser version 7.0.8. Le correctif est dans une mise à niveau vers Tor Browser 7.0.9. Précisons que les responsables du projet ont assuré que « les utilisateurs de Tails et les utilisateurs de notre navigateur sandbox ne sont pas affectés. »

    « En raison d'un bogue de Firefox dans la manipulation des URL “file: //” il est possible sur les deux systèmes que les utilisateurs laissent fuiter leur adresse IP. Une fois qu'un utilisateur affecté accède à une URL spécialement conçue, le système d'exploitation peut se connecter directement à l'hôte distant, en ignorant le navigateur Tor », a expliqué le projet dans une note.

    La vulnérabilité a été repérée par Filippo Cavallarin, PDG de We Are Segment, une société italienne spécialisée dans la cybersécurité. Cavallarin a rapporté le problème, baptisé TorMoil, au projet Tor la semaine dernière. Les développeurs du projet Tor ont travaillé avec l'équipe de Firefox (Tor Browser est basé sur le navigateur Firefox) pour publier un correctif.

    Dans un premier temps, l’équipe a publié une solution d’atténuation : « Le bogue nous a été rapporté le jeudi 26 octobre par Filippo Cavallarin. Nous avons créé une solution d’atténuation avec l'aide des ingénieurs de Mozilla le jour suivant qui, hélas, n'a colmaté que partiellement la brèche. Nous avons mis au point une solution supplémentaire le mardi 31 octobre en colmatant toutes les failles connues. Nous ne sommes pas au fait d’une quelconque exploitation de cette vulnérabilité dans la nature. »

    Le projet s’était alors fixé une date butoir pour diffuser le correctif aux utilisateurs : « Nous préparons actuellement des paquets de mises à jour macOS et Linux pour notre série alpha qui sera provisoirement disponible le lundi 6 novembre. En attendant, les utilisateurs de macOS et Linux de cette série sont fortement encouragés à utiliser les paquets stables ou l'un des outils mentionnés ci-dessus qui ne sont pas affectés par le problème sous-jacent. »

    Finalement, hier, l’équipe a annoncé la disponibilité de Tor Browser 7.0.9 qui vient corriger le problème de fuite. Étant donné que la version du navigateur Tor sous Windows n'est pas affectée, la mise à jour de sécurité n’a été déployée que sur macOS et Linux.

    Source : Tor
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Profil pro
    Inscrit en
    août 2008
    Messages
    155
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2008
    Messages : 155
    Points : 458
    Points
    458

    Par défaut

    Merde alors !!

    Moi qui avait acheté pour 50 kg d'armes.

    Me voilà bien maintenant !

    Merci TOR !
    #Balance ton TOR

  3. #3
    Membre averti
    Inscrit en
    juin 2012
    Messages
    267
    Détails du profil
    Informations forums :
    Inscription : juin 2012
    Messages : 267
    Points : 426
    Points
    426

    Par défaut

    Une fois qu'un utilisateur affecté accède à une URL spécialement conçue
    Que veulent t-ils dire par là ? Un nœud relais, un nœud de sortie, un site corrompu ?

  4. #4
    Membre éprouvé

    Homme Profil pro
    Privacy, EBusiness, Bases de données, Sécurité, ...
    Inscrit en
    novembre 2004
    Messages
    315
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Privacy, EBusiness, Bases de données, Sécurité, ...
    Secteur : Service public

    Informations forums :
    Inscription : novembre 2004
    Messages : 315
    Points : 1 140
    Points
    1 140

    Par défaut

    Citation Envoyé par mm_71 Voir le message
    Que veulent t-ils dire par là ? Un nœud relais, un nœud de sortie, un site corrompu ?
    Le bug permet de bypasser le système Tor et l'OS se connecte directement au site. Les noeuds ne sont pas concernés.

  5. #5
    Membre averti
    Inscrit en
    juin 2012
    Messages
    267
    Détails du profil
    Informations forums :
    Inscription : juin 2012
    Messages : 267
    Points : 426
    Points
    426

    Par défaut

    Bon, j'ai trouvé:

    TorMoil est déclenché lorsque les utilisateurs cliquent sur les liens commençant par les adresses file: //, au lieu des adresses plus courantes https: // et http: //.
    http://quoideneuf1.over-blog.com/201...ilisateur.html

    Ça ne doit pas concerner grand monde.

Discussions similaires

  1. installer tor browser sous ubuntu
    Par datalandia dans le forum Linux
    Réponses: 3
    Dernier message: 14/09/2016, 21h26
  2. Réponses: 0
    Dernier message: 01/06/2016, 16h05
  3. Réponses: 0
    Dernier message: 24/03/2016, 10h21
  4. Réponses: 2
    Dernier message: 26/03/2010, 13h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo