Το Tor Project κυκλοφόρησε τον Tor browser έκδοση 10.0.18 για την επιδιόρθωση πολλών σφαλμάτων, συμπεριλαμβανομένης μιας ευπάθειας που επιτρέπει στους ιστότοπους να παρακολουθούν τους χρήστες με fingerprinting των εφαρμογών που είναι εγκατεστημένες στις συσκευές τους.
Δείτε επίσης: Noyb – Ευρώπη: Αναγκαίος ο browser-level έλεγχος που θα δώσει τέλος στον «εφιάλτη» της συναίνεσης των cookies
Τον Μάιο, η εταιρεία δακτυλικών αποτυπωμάτων JavaScript FingerprintJS αποκάλυψε μια ευπάθεια «scheme flooding» που επιτρέπει την παρακολούθηση των χρηστών σε διαφορετικά προγράμματα περιήγησης με βάση τις εφαρμογές που είναι εγκατεστημένες στη συσκευή τους.
Για την παρακολούθηση χρηστών, δημιουργείται ένα tracking profile για έναν χρήστη προσπαθώντας να ανοίξει διάφορους handlers URL εφαρμογών, όπως το zoommtg:// και να ελέγξει αν το πρόγραμμα περιήγησης ξεκινά μια προτροπή, όπως αυτή για το Zoom παρακάτω.
Δείτε επίσης: Ο browser Vivaldi ενημερώνεται με νέα χαρακτηριστικά
Εάν εμφανιστεί το μήνυμα της εφαρμογής, μπορεί να θεωρηθεί ότι η εφαρμογή είναι εγκατεστημένη στη συσκευή. Ελέγχοντας για πολλούς URL handlers, η ευπάθεια μπορεί να δημιουργήσει ένα αναγνωριστικό βάσει της μοναδικής διαμόρφωσης των εγκατεστημένων εφαρμογών στη συσκευή του χρήστη.
Αυτό το αναγνωριστικό μπορεί στη συνέχεια να εντοπιστεί σε διαφορετικά προγράμματα περιήγησης, όπως οι Google Chrome, Edge, Tor Browser, Firefox και Safari.
Αυτή η ευπάθεια αφορά ιδιαίτερα τους χρήστες Tor που χρησιμοποιούν το πρόγραμμα περιήγησης για να προστατεύσουν την ταυτότητά τους και τη διεύθυνση IP τους από την καταγραφή τους σε ιστότοπους. Καθώς αυτή η ευπάθεια παρακολουθεί τους χρήστες σε όλα τα προγράμματα περιήγησης, θα μπορούσε να επιτρέψει στους ιστότοπους, ακόμα και στην επιβολή του νόμου, να παρακολουθούν την πραγματική διεύθυνση IP ενός χρήστη όταν μεταβαίνουν σε ένα πρόγραμμα περιήγησης χωρίς ανωνυμία, όπως ο Google Chrome.
Με την κυκλοφορία του Tor Browser 10.0.18, το Tor Project εισήγαγε μια επιδιόρθωση για αυτήν την ευπάθεια, ορίζοντας τη ρύθμιση «network.protocol-handler.external» σε false.
Δείτε επίσης: Ο browser Vivaldi αποκτά την λειτουργία «Cookie Crumbler»
Αυτή η προεπιλεγμένη ρύθμιση θα εμποδίσει το πρόγραμμα περιήγησης να μεταφέρει το χειρισμό μιας συγκεκριμένης διεύθυνσης URL σε μια εξωτερική εφαρμογή και, συνεπώς, να μην ενεργοποιεί πλέον τις προτροπές της εφαρμογής.
Πλήρες changelog
Το πλήρες changelog για το Tor 10.0.18 είναι:
Όλες οι πλατφόρμες
- Ενημέρωση Tor σε 0.4.5.9
Android
- Ενημέρωση Fenix σε 89.1.1
- Ενημέρωση NoScript σε 11.2.8
- Σφάλμα 40165: Ανακοίνωση κατάργησης υπηρεσίας v2 onion στο about:tor
- Σφάλμα 40166: Απόκρυψη καρτέλας “Normal” (ξανά) και καρτέλα Sync στο TabTray
- Σφάλμα 40167: Απόκρυψη “Save to Collection” στο μενού
- Σφάλμα 40169: Επανεκκίνηση των επιδιορθώσεων fenix στο fenix v89.1.1
- Σφάλμα 40170: Σφάλμα δημιουργίας tor-browser-89.1.1-10.5-1
- Σφάλμα 40432: Αποτροπή ανίχνευσης εγκατεστημένων εφαρμογών
Σύστημα κατασκευής
Android
- Σφάλμα 40290: Ενημέρωση στοιχείων για το Fenix που βασίζεται στο mozilla89
Μπορείτε να πραγματοποιήσετε αναβάθμιση σε Tor Browser 10.0.18 ανοίγοντας το μενού, μεταβαίνοντας στο Help και επιλέγοντας About Tor Browser, το οποίο θα ελέγχει αυτόματα και θα εγκαθιστά νέες ενημερώσεις.
Μπορείτε επίσης να πραγματοποιήσετε λήψη του πιο πρόσφατου προγράμματος περιήγησης από τη σελίδα λήψης του προγράμματος περιήγησης Tor και από το distribution directory.
Πηγή πληροφοριών: bleepingcomputer.com
