Đầu năm nay, Zerodium, một công ty không mấy nổi tiếng đã bỏ ra 1 triệu USD để đánh giá sự khai thác lỗ hổng zero-day cho trình duyệt Tor (Tor Browser), vừa tiết lộ một lỗi zero-day quan trọng trong phần mềm duyệt web ẩn danh có thể làm lộ danh tính người dùng trên các trang mà họ truy cập.
Trong một đăng tải trên Twitter, Zerodium đã chia sẻ một lỗ hổng zero-day nằm trong plugin (một module bổ sung một chức năng nào đó mà bạn có thể cài vào) của trình duyệt NoScript được cài đặt sẵn với Mozilla Firefox đi kèm trong phần mềm Tor.
NoScript là phần mở rộng của trình duyệt miễn phí, ngăn chặn các mã độc JavaScript, Java, Flash và các nội dung nguy hiểm tiềm ẩn khác trên tất cả các trang web mặc định, mặc dù người dùng có thể lựa chọn các trang họ tin cậy.
Theo Zerodium, NoScript "Classic" các phiên bản 5.0.4 đến 5.1.8.6 - với mức bảo mật “an toàn nhất” được kích hoạt - bao gồm cả trong Tor Browser 7.5.6 có thể được bỏ qua để chạy bất kỳ tệp tin JavaScript nào bằng cách thay đổi mào đầu loại nội dung thành định dạng JSON.
Nói một cách khác, một trang web có thể khai thác lỗ hổng này để thực thi mã độc JavaScript trên các trình duyệt Tor của nạn nhân để xác định một cách tích cực địa chỉ IP thực của họ.
Cần lưu ý rằng, phiên bản mới nhất của trình duyệt Tor (Tor 8.0), không bị lỗ hổng này, vì plugin NoScript được thiết kế cho phiên bản Firefox mới hơn ("Quantum") dựa trên một định dạng API khác.
Do đó, người dùng Tor 7.x được đề nghị cập nhật ngay trình duyệt của mình lên bản phát hành Tor 8.0 mới nhất. NoScript cũng đã xử lý lỗ hổng zero-day với việc phát hành phiên bản NoScript "Classic" 5.1.8.7.