Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Aggiorna TOR per continuare ad essere anonimo.

Redazione RHC : 23 Giugno 2021 15:11

Il browser open source Tor, è stato aggiornato alla versione 10.0.18 con correzioni su diversi problemi, incluso un bug che violava la privacy e che potrebbe essere utilizzato per identificare, in modo univoco, gli utenti su browser diversi in base alle APP installate su un computer.

Oltre ad aggiornare Tor alla 0.4.5.9, la versione Android del browser è stata aggiornata a Firefox alla versione 89.1.1, oltre a incorporare le patch implementate da Mozilla per diverse vulnerabilità di sicurezza risolte in Firefox 89.


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Il principale tra i problemi risolti è un nuovo attacco venuto alla luce il mese scorso. Soprannominato schema flooding, la vulnerabilità consente a un sito Web dannoso di sfruttare le informazioni sulle app installate sul sistema per assegnare agli utenti un identificatore univoco permanente anche quando cambiano browser, utilizzano la modalità di navigazione in incognito o una VPN.

In altre parole, la debolezza sfrutta gli schemi URL personalizzati nelle app come vettore di attacco, consentendo a un malintenzionato di tracciare l’utente di un dispositivo tra diversi browser, inclusi Chrome, Firefox, Microsoft Edge, Safari e persino Tor, aggirando efficacemente le protezioni cross-browser dell’anonimato su Windows, Linux e macOS.

“Un sito Web che sfrutti la vulnerabilità al flooding potrebbe creare un identificatore stabile e univoco in grado di collegare tra loro le identità di navigazione”

ha affermato il ricercatore di FingerprintJS Konstantin Darutkin.

Attualmente, l’attacco controlla un elenco di 24 applicazioni installate che comprende Adobe, Battle.net, Discord, Epic Games, ExpressVPN, Facebook Messenger, Figma, Hotspot Shield, iTunes, Microsoft Word, NordVPN, Notion, Postman, Sketch, Skype, Slack, Spotify, Steam, TeamViewer, Telegram, Visual Studio Code, WhatsApp, Xcode e Zoom.

Il problema ha serie implicazioni per la privacy in quanto potrebbe essere sfruttato dai malintenzionati per smascherare gli utenti Tor correlando le loro attività di navigazione mentre passano a un browser non anonimo, come Google Chrome. Per contrastare l’attacco, Tor ora imposta “network.protocol-handler.external” su false in modo da impedire al browser di sondare le app installate.

Degli altri tre browser, mentre Google Chrome dispone di protezioni integrate – impedisce l’avvio di qualsiasi applicazione a meno che non venga attivato da un gesto dell’utente, come un clic del mouse – è stato scoperto che il visualizzatore PDF del browser aggira questa mitigazione.

“Fino a quando questa vulnerabilità non viene risolta, l’unico modo per avere sessioni di navigazione private non associate al tuo dispositivo principale è utilizzare un altro dispositivo”

ha affermato Darutkin. Si consiglia agli utenti del browser Tor di muoversi rapidamente per applicare l’aggiornamento per assicurarsi che siano protetti.

Lo sviluppo arriva poco più di una settimana dopo che il servizio di messaggistica crittografata Wire ha risolto due vulnerabilità critiche nella sua app iOS e Web che potrebbero portare a un denial-of-service ( CVE-2021-32666 ) e consentire a un utente malintenzionato di prendere il controllo di un account utente ( CVE-2021-32683 ).

Fonte

https://bugs.chromium.org/p/chromium/issues/detail?id=1208903

https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/40432

https://fingerprintjs.com/blog/external-protocol-flooding/

https://github.com/fingerprintjs/external-protocol-flooding

https://thehackernews.com/2021/06/patch-tor-browser-bug-to-prevent.html

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Ha 13 anni e ha hackerato Microsoft Teams! La storia di Dylan, uno tra i più giovani bug hunter

A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...

Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...