Gebruikers van Tor Browser die JavaScript blokkeren waren niet kwetsbaar voor het zerodaylek in Firefox, zo heeft het Tor Project laten weten. Vanwege de kwetsbaarheid, waardoor een aanvaller in het ergste geval systemen kon overnemen, kwam Firefox afgelopen dinsdag met een noodpatch.
Volgens de browserontwikkelaar werd het beveiligingslek actief gebruikt om Firefox-gebruikers aan te vallen voordat de update beschikbaar was. Tor Browser is op Firefox gebaseerd en bevat daardoor ook het betreffende lek. De browser biedt echter verschillende beveiligingsniveaus waarmee gebruikers de bescherming kunnen opschroeven. Volgens het Tor Project waren gebruikers die het beveiligingsniveau "safer" en "safest" hadden staan niet kwetsbaar.
Om de kwetsbaarheid uit te buiten moet een aanvaller namelijk JavaScript kunnen uitvoeren en dat wordt op deze twee niveaus respectievelijk deels en volledig geblokkeerd. In het geval van "safer" wordt het uitvoeren van JavaScript op http-sites geblokkeerd, terwijl het safest-niveau alle JavaScript tegenhoudt.
Het Tor Project heeft nu een nieuwe versie (8.5.2) van de browser uitgebracht die de kwetsbaarheid verhelpt. Voor gebruikers van Tor Browser voor Android is er nog geen nieuwe versie. Het ontwikkelteam is onderweg naar een evenement en heeft daardoor geen toegang tot de token waarmee de Androidversie wordt gesigneerd. In afwachting van de update krijgen Androidgebruikers dan ook het advies om het beveiligingsniveau op "safer" of "safest" te zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.