macOSとLinux向けの「Tor Browser」に脆弱性、IPアドレス流出の恐れ
細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。
インターネットを匿名で閲覧するためのWebブラウザ「Tor Browser」に、ユーザーのIPアドレス流出につながる脆弱性が報告され、Tor Browser Projectは11月3日、macOSとLinux向けに更新版の「Tor Browser 7.0.9」を公開した。一方、Windowsは影響を受けないとして、引き続きTor Browser 7.0.8を使うよう促している。
Torのブログによると、脆弱性は「file://」で始まるURLの処理に関するFirefoxのバグに起因する。細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。
Windowsのほか、匿名化OSの「Tails」や、サンドボックス化されたTorブラウザはこの問題の影響を受けないとしている。
この脆弱性は10月26日にイタリアのセキュリティ企業「We Are Segment」から報告され、Tor Browser ProjectではMozillaの協力を得て翌日、部分的な緩和措置を講じた。同月31日には追加の修正を行い、既知の問題は全て修正したとしている。現在のところ、この脆弱性を突く攻撃の横行は確認されていないという。
ただし、今回の修正は流出を阻止するための緩和策であり、結果として、URLバーに「file://」で始まるURLを入力してリンクをクリックしてもつながらない不具合が確認されているという。回避策として、リンクを新しいタブにドラッグ&ドロップするやり方を紹介している。
関連記事
- Tor匿名解除の攻撃に利用の脆弱性、FirefoxやThunderbirdも修正
攻撃コードは不正なWebページを読み込ませて任意のコードを実行し、標的とするシステムのIPアドレスとMACアドレスを収集して中央のサーバに送信させる内容だった。 - Firefoxに脆弱性報告、「Tor Browser」狙う攻撃に利用
匿名化ツールの「Tor Browser」を標的として、Firefoxの脆弱性を悪用する攻撃が発生している。 - Facebook、AndroidアプリでTorをサポート
Facebookは、公式AndroidアプリでのTor経由の接続をサポートすると発表した。数日中に全ユーザーが利用できるようになる見込み。 - Tor使った闇サイト、欧州と米国で一斉摘発
Tor上で極秘運営され、武器や薬物などの違法取引に使われていた410以上の隠しサービスが摘発され、17人が逮捕された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.