Após o anúncio de uma atualização de emergência e crítica do Firefox, o Tor Browser 8.5.2 é atualizado. A versão resolve uma vulnerabilidade crítica do Mozilla Firefox. Sendo assim, o Projeto Tor lançou uma nova versão do Navegador Tor, v.8.5.2. A atualização está agora disponível na página de download e no diretório de distribuição do Tor.
De acordo com as notas do Tor Browser 8.5.2, a versão mais recente do navegador anônimo – popular entre aqueles preocupados com privacidade pessoal e censura – inclui uma correção para CVE-2019-11707. Esta é uma vulnerabilidade de confusão de tipo crítico causada por erros no componente Array.pop do Firefox.
Tor Browser 8.5.2 é atualizado após falha do Firefox
Se explorada, isso pode levar a falhas no navegador, diz a Mozilla. Samuel Groß, pesquisador de segurança cibernética do Google Project Zero e Coinbase Security, foi creditado com a descoberta da vulnerabilidade. Groß disse que, além de uma falha, é possível que o bug possa ser usado para a execução remota de código – com uma ressalva de escape de sandbox – assim como ataques cross-site scripting (XSS).
Além de resolver este grave problema de segurança, o Projeto Tor também atualizou o NoScript para o 10.6.3. Assim, corrige vários problemas, incluindo o congelamento de navegador e o bloqueio acidental de vídeos MP4.
Um atraso no acesso ao token Android do Tor significa que a versão Android 8.5.2 do Navegador Tor ainda não foi lançada e não deve chegar até o fim de semana. Embora a versão móvel do Tor receba o mesmo patch, por enquanto, é recomendável que os usuários do Android passem para maiores níveis de segurança, a fim de reduzir o risco de exploração ativa.
Os usuários do Android podem fazer isso navegando até o menu à direita da barra de URL e selecionando “Configurações de segurança”.
O changelog completo pode ser encontrado aqui.
Oracle também aplica correções
Em notícias relacionadas, na quarta-feira, a Oracle lançou um patch com o objetivo de resolver uma vulnerabilidade zero-day presente no software de servidor WebLogic.
A vulnerabilidade, CVE-2019-2729, foi relatada por pesquisadores chineses de segurança cibernética há menos de uma semana. Se explorados, os ciberatautas são capazes de utilizar a falha de segurança para seqüestrar sistemas de usuários e executar código arbitrário.