03.05 // Критическая уязвимость в TorBrowser раскрывает запросы пользователей
Torproject[link1] уведомляет своих пользователей об обнаружении критической уязвимости в TorBrowser.
В текущей версии программы обращение к сайтам, использующим технологию веб-сокетов, приводит к срабатыванию кода в браузере Firefox, обходящего настройки тор-DNS. Из-за этого DNS-запросы идут в соответствии с настройками на компьютере пользователя, имена просматриваемых им сайтов становятся видны его провайдеру, используемому им DNS-серверу и любому промежуточному узлу сети между ними, способному прослушивать нешифрованные соединения.
До выхода исправленной версии TorBrowser
- Набрать about:config в адресной строке браузера. Нажать Enter.
- Набрать websocket в поисковом окне.
- Двойным щелчком изменить состояние поля network.websocket.enabled. После этого оно должно показывать false в столбце Value.
В настоящее время доступна обновлённая версия[link2], в которой данная уязвимость исправлена.
Источник: TorProject blog[link1]
[link2] https://blog.torproject.org/blog/new-tor-browser-bundles-security-release