Những người bảo trì dự án Tails đã đưa ra cảnh báo rằng Trình duyệt Tor đi kèm với hệ điều hành không an toàn để sử dụng để truy cập hoặc nhập thông tin nhạy cảm.
“Chúng tôi khuyên bạn nên ngừng sử dụng Tails cho đến khi phát hành 5.1 (ngày 31 tháng 5) nếu bạn sử dụng Tor Browser cho các thông tin nhạy cảm (mật khẩu, tin nhắn riêng tư, thông tin cá nhân, v.v.)”, dự án cho biết trong một lời khuyên được đưa ra trong tuần này.
Tails, viết tắt của The Amnesic Incognito Live System, là một bản phân phối Linux dựa trên Debian được định hướng bảo mật nhằm bảo vệ sự riêng tư và ẩn danh bằng cách kết nối với internet thông qua mạng Tor.
Cảnh báo được đưa ra khi Mozilla vào ngày 20 tháng 5 năm 2022 đã tung ra các bản sửa lỗi cho hai lỗi zero-day nghiêm trọng trong trình duyệt Firefox của mình, một phiên bản sửa đổi của nó hoạt động như nền tảng của Trình duyệt Tor.
Được theo dõi là CVE-2022-1802 và CVE-2022-1529, hai lỗ hổng này được gọi là ô nhiễm nguyên mẫu có thể được vũ khí hóa để thực thi mã JavaScript trên các thiết bị chạy các phiên bản dễ bị tấn công của Firefox, Firefox ESR, Firefox cho Android và Thunderbird .
“Ví dụ: sau khi bạn truy cập một trang web độc hại, kẻ tấn công kiểm soát trang web này có thể truy cập mật khẩu hoặc thông tin nhạy cảm khác mà bạn gửi đến các trang web khác sau đó trong cùng một phiên Tails”, lời khuyên của Tails viết.
Các lỗi này đã được Manfred Paul chứng minh tại phiên bản thứ 15 của cuộc thi hack Pwn2Own được tổ chức tại Vancouver vào tuần trước, nhà nghiên cứu đã được thưởng 100.000 đô la.
Tuy nhiên, các Trình duyệt Tor được bật cấp độ bảo mật “An toàn nhất” cũng như ứng dụng email khách Thunderbird trong hệ điều hành không bị lỗi do JavaScript bị tắt trong cả hai trường hợp.
Ngoài ra, các điểm yếu không phá vỡ các bảo vệ ẩn danh và mã hóa được đưa vào Tor Browser, có nghĩa là người dùng Tails không xử lý thông tin nhạy cảm có thể tiếp tục sử dụng trình duyệt web.
“Lỗ hổng này sẽ được sửa trong Tails 5.1 (ngày 31 tháng 5), nhưng nhóm của chúng tôi không có khả năng xuất bản bản phát hành khẩn cấp sớm hơn”, các nhà phát triển cho biết.
.
