Vulnerabilidad crítica de JavaScript en el navegador Tor es corregida; actualice su implementación de Tor

Los usuarios no sólo exponen su privacidad al navegar en Internet. Un grupo de investigadores en cómputo forense reveló el hallazgo de una falla en el navegador Tor que podría haber permitido la ejecución de JavaScript en cualquier sitio web, incluso si los usuarios lo hubieran inhabilitado para explotar al máximo el anonimato brindado por esta herramienta.

Durante el lanzamiento de la versión 9.0.6, los responsables de Tor Project anunciaron que la falla fue corregida; no obstante, se recomienda encarecidamente a los usuarios del navegador inhabilitar JavaScript de forma manual para mitigar completamente este error.   

El equipo detrás de Tor realizó una extensiva revisión de NoScript, una extensión de navegador empleada para controlar la ejecución de JavaScript, Java, Flash y otros plugins; esta extensión también fue actualizada (versión 11.0.17). Acorde a los expertos en cómputo forense, los usuarios podrían verse afectados por esta falla dependiendo de la configuración de su implementación de Tor para tratar con JavaScript.

Tor cuenta con JavaScript habilitado de forma predeterminada, aunque los usuarios tienen dos opciones para modificarla:

  • “safer”, para inhabilitar JavaScript en sitios sin HTTPS
  • “safest”, para inhabilitar JavaScript completamente

Los investigadores mencionan que dejar el plugin habilitado deja expuestos a los usuarios a que el anonimato brindado por Tor se vea comprometido en algunos escenarios, por ejemplo, en caso de que un actor de amenazas emplee una vulnerabilidad en el navegador subyacente de Firefox.

En al menos dos ocasiones anteriores se han reportado incidentes de explotación de este escenario, por lo que Mozilla lanzó parches para prevenir incidentes en escenarios reales. Cabe mencionar que múltiples sitios que dependen de JavaScript podrían colapsar en caso de inhabilitarlo completamente.

Los investigadores en cómputo forense mencionan que la más reciente actualización de Tor afecta principalmente a los usuarios que cuentan con la configuración “safest”, pues bajo algunas circunstancias la inhabilitación de JavaScript podría no funcionar; en su informe, los mantenedores del navegador especifican que la extensión se actualizará de forma automática.

Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), así como los sitios oficiales de las compañías tecnológicas.