Esta vulnerabilidad en Tor Browser 7 obliga a actualizar cuanto antes a la nueva versión
Hace solo unos días os hablamos de la renovada versión 8.0 del popular navegador web centrado en la privacidad de los usuarios, Tor Browser, aunque en estas líneas os vamos a mostrar un fallo de seguridad detectado en la versión existente hasta ahora, la 7.0.
En concreto nos referimos a una vulnerabilidad que acaba de ser descubierta en el popular complemento NoScript y que podría ser explotada por los atacantes para ejecutar código JavaScript arbitrario en Tor Browser. Esto lo ha dado a conocer Zerodium, que ha revelado este fallo de seguridad en el navegador que precisamente se caracteriza por cuidar de la privacidad de sus usuarios.
Como muchos ya sabéis, NoScript es una extensión de Firefox que protege a los usuarios contra scripts maliciosos en la Red, ya que sólo permite la ejecución de plugins de JavaScript, Java y Flash, en sitios web de confianza. Así, Zerodium ha descubierto una vulnerabilidad aquí que podría ser explotada para ejecutar código JavaScript incluso si Tor Browser se utiliza en el nivel máximo de seguridad, ya que el exploit elude la protección implementada de NoScript. Es más, en la red social Twitter, el investigador de seguridad conocido como @x0rz publicó una prueba para demostrar que el fallo es muy fácil de explotar.
Este es el fallo de seguridad de NoScript en Tor Browser
Hay que tener en cuenta que la última versión del programa, Tor Browser 8, no se ve afectada, lo que esto significa que los usuarios deberían actualizar a la misma lo antes posible. Por tanto el hacker italiano Giorgio Maone que desarrolló la extensión, ya parcheó el bug y solucionó el problema con el lanzamiento de una nueva versión, al tiempo que explicaba que sólo la rama «clásica» de NoScript se ve afectada, pero que el fallo está entre nosotros desde mayo de 2017.
Al mismo tiempo el equipo de Tor Project ha querido dejar claro que este error no es un fallo tipo “Zero-Day” del navegador Tor, sino de la extensión NoScript, aunque el peligro está ahí para los usuarios del software igualmente. Y es que como se ha dicho, aunque un usuario establezca el nivel de seguridad de Tor en el nivel más elevado para bloquear JavaScript en todos los sitios web, el exploit detectado permitiría a un portal o servicio oculto, eludir todas las restricciones de NoScript y ejecutar cualquier código JavaScript.
Por todo ello una vez más queda demostrado que lo más recomendable, en todo momento, es mantener siempre actualizado a su última versión, todos los programas de los que hagamos uso de manera habitual.