В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
Доступен корректирующий релиз специализированного браузера Tor Browser 7.0.4, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая при открытии специально оформленного URL, напрямую обратиться к внешнему ресурсу с реального IP-адреса текущей системы.
Проблема проявляется только в Linux-дистрибутивах, в которых присутствует сервис GVfs (GNOME Virtual file system) и используется библиотека GIO (GNOME Input/Output). Код поддержки GVfs/GIO в Firefox допускает обращение к ресурсам в обход настроек прокси, что дает возможность инициировать прямой соединение силами операционной системы на внешний хост и деанонимизировать пользователя.
Проблема не проявляется в дистрибутиве Tails, в сборке sandboxed-tor-browser (Tor Browser запускается в изолированном окружении) и в дистрибутиве Whonix (выход в сеть из производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов).
