macOSとLinux向けの「Tor Browser」に脆弱性、IPアドレス流出の恐れ
細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。
インターネットを匿名で閲覧するためのWebブラウザ「Tor Browser」に、ユーザーのIPアドレス流出につながる脆弱性が報告され、Tor Browser Projectは11月3日、macOSとLinux向けに更新版の「Tor Browser 7.0.9」を公開した。一方、Windowsは影響を受けないとして、引き続きTor Browser 7.0.8を使うよう促している。
Torのブログによると、脆弱性は「file://」で始まるURLの処理に関するFirefoxのバグに起因する。細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。
Windowsのほか、匿名化OSの「Tails」や、サンドボックス化されたTorブラウザはこの問題の影響を受けないとしている。
この脆弱性は10月26日にイタリアのセキュリティ企業「We Are Segment」から報告され、Tor Browser ProjectではMozillaの協力を得て翌日、部分的な緩和措置を講じた。同月31日には追加の修正を行い、既知の問題は全て修正したとしている。現在のところ、この脆弱性を突く攻撃の横行は確認されていないという。
ただし、今回の修正は流出を阻止するための緩和策であり、結果として、URLバーに「file://」で始まるURLを入力してリンクをクリックしてもつながらない不具合が確認されているという。回避策として、リンクを新しいタブにドラッグ&ドロップするやり方を紹介している。
関連記事
Tor匿名解除の攻撃に利用の脆弱性、FirefoxやThunderbirdも修正
攻撃コードは不正なWebページを読み込ませて任意のコードを実行し、標的とするシステムのIPアドレスとMACアドレスを収集して中央のサーバに送信させる内容だった。
Firefoxに脆弱性報告、「Tor Browser」狙う攻撃に利用
匿名化ツールの「Tor Browser」を標的として、Firefoxの脆弱性を悪用する攻撃が発生している。
Facebook、AndroidアプリでTorをサポート
Facebookは、公式AndroidアプリでのTor経由の接続をサポートすると発表した。数日中に全ユーザーが利用できるようになる見込み。
Tor使った闇サイト、欧州と米国で一斉摘発
Tor上で極秘運営され、武器や薬物などの違法取引に使われていた410以上の隠しサービスが摘発され、17人が逮捕された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
ITmediaはアイティメディア株式会社の登録商標です。