Une faille utilisée par le FBI il y a quelques mois pour identifier des internautes est bel et bien confirmée.
Dans un message publié sur la liste de diffusion du réseau d’anonymisation Tor, l’équipe en charge de la sécurité du réseau Tor explique notamment que cette faille est actuellement exploitée afin de découvrir les adresses IP des utilisateurs. Un code d’exploitation rédigé en langage JavaScript accompagne le message et illustre cette possibilité. La vulnérabilité repose sur l’utilisation d’un DOM malveillant pour accéder à l’API VirtualAlloc de Windows.
Les développeurs de Firefox sur lequel est fondé le réseau, ainsi que les développeurs du réseau Tor ont collaboré à la publication conjointe des correctifs dont l’application doit être immédiate.
Source : arstechnica.com