Tor e Firefox, una falla in comune

Gli sviluppatori di Tor aggiornano il browser ufficiale avvertendo dell'esistenza di una falla potenzialmente molto pericolosa. Interviene anche Mozilla, che a sua volta rilancia programmando un update
Gli sviluppatori di Tor aggiornano il browser ufficiale avvertendo dell'esistenza di una falla potenzialmente molto pericolosa. Interviene anche Mozilla, che a sua volta rilancia programmando un update

Il browser ufficiale di Tor è affetto da una grave vulnerabilità di sicurezza , potenzialmente utilizzabile da “avversari” ben equipaggiati per compromettere le difese a protezione dell’anonimato degli utenti della darknet: l’avvertimento arriva direttamente dagli sviluppatori, che si premurano di chiudere la falla con un nuovo aggiornamento per il software. Firefox, che di Tor costituisce la base, sarà invece ancora vulnerabile per poco.

Il browser di Tor è stato dunque aggiornato alla release 6.0.5 , e agli utenti viene caldamente consigliata l’installazione dell’update visto che la vulnerabilità in oggetto permette di “impersonare” un sito web legittimo (es. addons.mozilla.org ) tramite un certificato crittografico fasullo, installare un aggiornamento potenzialmente malevolo per un componente aggiuntivo del browser e da lì “bucare” il sistema dell’utente – magari tramite l’esecuzione di codice malevolo da remoto.

Un attacco di tipo man-in-the-middle (MITM) come quello descritto dai ricercatori è problematico ma non impossibile, ed è già ampiamente documentato nelle cronache di questi anni che ad esempio riguardano la famigerata certificate authority (CA) olandese DigiNotar .

I cracker al soldo di uno stato sono ovviamente i soggetti che più potrebbero trarre vantaggio dalla vulnerabilità, e la situazione è ancora più grave anche sul fronte degli utenti che si limitano a navigare sul Web “in chiaro” visto che una serie di falle permette di ottenere gli stessi risultati (utilizzo di un certificato fasullo, installazione di un add-on malevolo) anche sulle versioni standard di Firefox .

Le vulnerabilità “nascoste” del browser open source e il loro possibile utilizzo da parte delle autorità di polizia (e da parte dell’ FBI in particolare ) sono da tempo al centro dell’attenzione, Mozilla ha riconosciuto l’esistenza del problema e ha pianificato la distribuzione di un aggiornamento per Firefox per il 20 settembre.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

19 09 2016
Link copiato negli appunti