ITmedia NEWS > セキュリティ >
ニュース
» 2017年11月06日 09時00分 公開

macOSとLinux向けの「Tor Browser」に脆弱性、IPアドレス流出の恐れ

細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。

[鈴木聖子,ITmedia]

 インターネットを匿名で閲覧するためのWebブラウザ「Tor Browser」に、ユーザーのIPアドレス流出につながる脆弱性が報告され、Tor Browser Projectは11月3日、macOSとLinux向けに更新版の「Tor Browser 7.0.9」を公開した。一方、Windowsは影響を受けないとして、引き続きTor Browser 7.0.8を使うよう促している。

 Torのブログによると、脆弱性は「file://」で始まるURLの処理に関するFirefoxのバグに起因する。細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。

photo Tor Browser Projectは11月3日、macOSとLinux向けに更新版の「Tor Browser 7.0.9」を公開した

 Windowsのほか、匿名化OSの「Tails」や、サンドボックス化されたTorブラウザはこの問題の影響を受けないとしている。

 この脆弱性は10月26日にイタリアのセキュリティ企業「We Are Segment」から報告され、Tor Browser ProjectではMozillaの協力を得て翌日、部分的な緩和措置を講じた。同月31日には追加の修正を行い、既知の問題は全て修正したとしている。現在のところ、この脆弱性を突く攻撃の横行は確認されていないという。

 ただし、今回の修正は流出を阻止するための緩和策であり、結果として、URLバーに「file://」で始まるURLを入力してリンクをクリックしてもつながらない不具合が確認されているという。回避策として、リンクを新しいタブにドラッグ&ドロップするやり方を紹介している。

関連キーワード

Tor | Linux | macOS


Copyright© 2017 ITmedia, Inc. All Rights Reserved.