Vulnerabilità per l’estensione NoScript del Browser Tor

L’azienda Zerodium ha segnalato attraverso Twitter un bug nell’estensione NoScript inclusa per default con il browser Tor. Il bug consente di by-passare la whitelist dell’estensione NoScript al livello di sicurezza “safest”, permettendo così a un eventuale codice malevolo di violare le difese.

Tor è un browser basato su Firefox che permette di navigare su Internet (e accedere al dark web) in maniera anonima. L’estensione NoScript aggiunge un livello di sicurezza in più, consentendo di impostare una whitelist di siti dai quali caricare script JavaScript, Flash, Java, o Silverlight.

Zerodium ha pubblicato l’esistenza della vulnerabilità solo dopo che questa è stata corretta con l’uscita della versione 8 di Tor, infatti il bug è sfruttabile solo nelle versioni 7.x (e con l’estensione NoScript fino alla 5.1.8.6, poiché l’autore ha corretto il bug nella versione 5.1.8.7).

Da notare come Zerodium, un’azienda che compra e vende bug e vulnerabilità per software noti, abbia dichiarato di essere venuta in possesso della vulnerabilità già diversi mesi fa (probabilmente durante il bug bounty lanciato proprio per Tor), e che aveva condiviso la vulnerabilità con i suoi clienti governativi.

Un portavoce del progetto Tor ha dichiarato a ZDNet che per creare veri danni l’exploit andrebbe usato in combinazione con almeno un’altra vulnerabilità.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.