Zerodium, largement connu comme collecteur de failles, prévient qu’une vulnérabilité 0-day existe dans la branche 7.X de Tor Browser, plus exactement dans l’extension NoScript préinstallée.
Selon l’entreprise, les versions Classic de la 5.0.4 à la 5.1.8.6 sont vulnérables à des fichiers JavaScript malveillants si leur type de contenu est défini sur JSON, même si le niveau de sécurité est défini au plus haut (Safest).
La faille peut donc être exploitée par un site web, avec pour conséquence l’affichage de l’adresse IP de l’utilisateur, ce que Tor Browser fait évidemment tout pour cacher.
Solutions ? Mettre à jour, puisque Tor Browser dispose d’une version 8.0 depuis la semaine dernière. La faille perd donc rapidement de son intérêt, mais peut sans doute être exploitée sur bon nombre de machines où d’anciennes moutures sont encore utilisées. NoScript a également été mis à jour, la nouvelle version étant automatiquement déployée dans les navigateurs l’utilisant.
On se demander cependant quel peut bien être l’objectif de Zerodium avec une telle révélation. L’entreprise est loin d’être connue pour sa bienveillance naturelle. Elle lance régulièrement des concours récompensant par de fortes sommes (jusqu'à 1,5 million de dollars) des failles 0-day dans des produits bien en vue, comme iOS ou, justement, Tor Browser.
On peut donc y voir une opération de communication, mais qui tourne court. De la même manière que la NSA à une époque, la question se pose : quelle valeur pour cette faille dévoilée ? La vulnérabilité est peut-être trop connue désormais, ou a déjà été longuement. La révéler ne coûterait alors rien.
Une question du coût importante puisque Zerodium est un fleuron du marché gris des failles de sécurité : elle les collecte pour les vendre au plus offrant, ou via des abonnements, y compris à des gouvernements. Pour mesurer l’impact d’une telle activité, il suffit de se souvenir de la faille vendue au FBI durant l’enquête sur la fusillade de San Bernardino.
Commentaires (3)
#1
J’avais loupé la brève de la 8.0, cette piqûre de rappel m’a fait faire l’update !
#2
Pour ma part la première étape à l’ouverture de tor browser, c’est la vérification de mise à jour.
Cela devrait être automatique au démarrage et pas au redémarrage sur ce genre d’outils.
#3
Contrairement à ce qui est dit dans l’article, cette faille ne permet pas l’affichage de l’adresse IP de l’utilisateur. Ce qu’elle permet c’est à un site d’exécuter du javascript même lorsque l’utilisateur a sélectionné le mode “Safest” qui était censé le désactiver. Dans le mode normal le javascript est activé par default, donc ça ne change rien.
Et l’objectif de cette entreprise pas vraiment bienveillante c’est juste de se faire de la pub. La faille concerne une version obsolète du navigateur, donc ils n’ont plus d’intérêt à la garder secrète.