macOSとLinux向けの「Tor Browser」に脆弱性、IPアドレス流出の恐れ

細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。

　インターネットを匿名で閲覧するためのWebブラウザ「Tor Browser」に、ユーザーのIPアドレス流出につながる脆弱性が報告され、Tor Browser Projectは11月3日、macOSとLinux向けに更新版の「Tor Browser 7.0.9」を公開した。一方、Windowsは影響を受けないとして、引き続きTor Browser 7.0.8を使うよう促している。

　Torのブログによると、脆弱性は「file://」で始まるURLの処理に関するFirefoxのバグに起因する。細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。

Tor Browser Projectは11月3日、macOSとLinux向けに更新版の「Tor Browser 7.0.9」を公開した

　Windowsのほか、匿名化OSの「Tails」や、サンドボックス化されたTorブラウザはこの問題の影響を受けないとしている。

　この脆弱性は10月26日にイタリアのセキュリティ企業「We Are Segment」から報告され、Tor Browser ProjectではMozillaの協力を得て翌日、部分的な緩和措置を講じた。同月31日には追加の修正を行い、既知の問題は全て修正したとしている。現在のところ、この脆弱性を突く攻撃の横行は確認されていないという。

　ただし、今回の修正は流出を阻止するための緩和策であり、結果として、URLバーに「file://」で始まるURLを入力してリンクをクリックしてもつながらない不具合が確認されているという。回避策として、リンクを新しいタブにドラッグ＆ドロップするやり方を紹介している。