Imagen: Proyecto Tor

Actualizado el 15 de marzo para agregar que a través de una actualización de la extensión NoScript (v11.0.17), este problema se solucionó. Artículo original a continuación.

El Proyecto Tor advirtió ayer a los usuarios sobre un error importante en su navegador que puede ejecutar código JavaScript en sitios cuya ejecución de JavaScript los usuarios han bloqueado específicamente.

Los desarrolladores de Tor dijeron que están trabajando en una solución; sin embargo, no proporcionaron un cronograma para un parche.

La capacidad de bloquear la ejecución de código JavaScript es una característica de seguridad crucial de Tor Browser Bundle (TBB), un navegador con funciones mejoradas para preservar la privacidad que también enmascara direcciones IP (ubicaciones) reales para mantener a los usuarios anónimos en línea.

Debido a estas características, el navegador es utilizado a menudo por periodistas, actividades políticas y disidentes en países opresivos, como una forma de eludir los cortafuegos y la censura en línea.

En el pasado, ha habido exploits que utilizaban código JavaScript para desenmascarar la dirección IP real de un usuario del navegador Tor. Algunos se han utilizado para atacar y desenmascarar actividades delictivas. [1, 2]mientras que otros fueron utilizados en circunstancias misteriosas [1, 2].

Ayer, el equipo de Tor dijo que encontraron un error en las opciones de seguridad de TBB. Cuando el navegador se configuró para utilizar el nivel de seguridad más alto (llamado “Más seguro”), aún permitía la ejecución del código JavaScript, incluso si debería haberlo bloqueado.

Imagen:

“Somos conscientes de un error que permite la ejecución de JavaScript en el nivel de seguridad más seguro (en algunas situaciones)”, dijo el equipo de Tor.

“Estamos trabajando para solucionar este problema. Si necesita que JavaScript esté bloqueado, puede desactivarlo por completo”.

Para deshabilitar completamente la ejecución de JavaScript en el navegador Tor, el equipo de Tor proporcionó las siguientes instrucciones:

Abierto acerca de: configuraciónBuscar: javascript.enabledSi el “Valor“la columna dice”FALSO“, entonces JavaScript ya está deshabilitado. Si el “Valor“la columna dice”verdadero“, luego haga clic derecho y seleccione “Palanca“de modo que ahora esté deshabilitado o haga doble clic en la fila y se deshabilitará.

Todos los navegadores basados ​​en Chromium