Tails avertit les utilisateurs de cesser d’utiliser le navigateur Tor fourni avec le système d’exploitation (OS) axé sur la confidentialité, après la découverte d’un prototype de vulnérabilité de pollution.

Tor Browser est une modification du navigateur Web open source Firefox, où la vulnérabilité critique, identifiée comme CVE-2022-1802, a été trouvée.

Le bogue pourrait permettre à un attaquant de corrompre les méthodes d’un objet Array en JavaScript via une pollution de prototype, réalisant potentiellement l’exécution de code JavaScript contrôlé par l’attaquant dans un contexte privilégié.

Un deuxième bogue, suivi sous le nom de CVE-2022-1529, pourrait permettre à un attaquant d’envoyer un message au processus parent où le contenu pourrait être utilisé pour double-indexer dans un objet JavaScript, conduisant à la pollution du prototype et au final autorisant le JavaScript contrôlé par l’attaquant. s’exécutant dans le processus parent privilégié.

Effet d’entraînement

Les développeurs de Tails, une distribution Linux basée sur Debian et axée sur la sécurité, utilisée pour la sécurité et l’anonymat, a averti les utilisateurs de ne pas lancer le navigateur Tor tout en manipulant des informations sensibles car la vulnérabilité peut briser toutes les protections qu’elle fournit.

C’est du moins jusqu’à la sortie de la version 5.1 de Tails, attendue le 31 mai.

Un avis de sécurité de Tails indique : « Cette vulnérabilité permet à un site Web malveillant de contourner une partie de la sécurité intégrée au navigateur Tor et d’accéder aux informations d’autres sites Web.

« Par exemple, après avoir visité un site Web malveillant, un attaquant contrôlant ce site Web peut accéder au mot de passe ou à d’autres informations sensibles que vous envoyez ensuite à d’autres sites Web au cours de la même session Tails. »

A NE PAS MANQUER Pollution des prototypes : la vulnérabilité dangereuse et sous-estimée qui affecte les applications JavaScript

La vulnérabilité ne brise pas l’anonymat et le cryptage des connexions Tor, ce qui signifie qu’il est toujours sûr et anonyme d’accéder aux sites Web de Tails si vous ne partagez pas d’informations sensibles avec eux.

Les autres applications de Tails ne sont pas vulnérables car JavaScript est désactivé. Le niveau de sécurité le plus sûr du navigateur Tor n’est pas non plus affecté car JavaScript est désactivé à ce niveau de sécurité.

Corrections entrantes

La version 5.0 de Tails est fournie avec le navigateur Tor 11.0.11, qui contient le bogue prototype de pollution.

Alors que les utilisateurs attendent Tails 5.1, qui héritera du navigateur Tor 11.0.13 mise à jour de sécurité, ils pourraient utiliser la version autonome et entièrement mise à jour du navigateur sur Mac, Windows ou Linux.

« Cette vulnérabilité sera corrigée dans Tails 5.1 (31 mai), mais notre équipe n’a pas la capacité de publier une version d’urgence plus tôt », a déclaré l’équipe Tails.

Un Mozilla conseil en sécurité contient plus d’informations sur les problèmes de sécurité, qui ont été signalés par le chercheur Manfred Paul.

Il contient également des détails sur les correctifs pour Firefox, Firefox ESR, Firefox pour Android, Thunderbird pour se protéger contre les vulnérabilités.