PT-2021-22491 · Tor+1 · Tor Browser
Sick.Codes
·
Publicado
2021-09-24
·
Atualizado
2021-10-01
·
CVE-2021-39246
CVSS v3.1
6.1
Média
| Vetor | AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões 10.5.6 e 11.x até 11.0a4 do Tor Browser
Descrição
A vulnerabilidade permite um ataque de correlação que pode comprometer a privacidade das visitas a endereços onion v2. Os carimbos de data/hora exatos dessas visitas a serviços onion são registrados localmente, e um invasor pode ser capaz de compará-los com os dados de carimbo de data/hora coletados pelo servidor de destino (ou coletados por um site malicioso dentro da rede Tor). Isso pode ocorrer quando a opção
--log ou --verbose é usada.Recomendações
Para as versões 10.5.6 e 11.x até 11.0a4 do Tor Browser, considere desativar o recurso de registro detalhado para minimizar o risco de exploração. Evite usar a opção
--log ou --verbose até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tor Browser