Pengelola proyek Tails telah mengeluarkan peringatan bahwa Tor Browser yang dibundel dengan sistem operasi tidak aman digunakan untuk mengakses atau memasukkan informasi sensitif.
“Kami menyarankan Anda berhenti menggunakan Tails hingga rilis 5.1 (31 Mei) jika Anda menggunakan Tor Browser untuk informasi sensitif (kata sandi, pesan pribadi, informasi pribadi, dll.),” kata proyek tersebut dalam sebuah nasihat yang dikeluarkan minggu ini.
Tails, kependekan dari The Amnesic Incognito Live System, adalah distribusi Linux berbasis Debian yang berorientasi pada keamanan yang ditujukan untuk menjaga privasi dan anonimitas dengan menghubungkan ke internet melalui jaringan Tor.
Peringatan itu datang ketika Mozilla pada 20 Mei 2022 meluncurkan perbaikan untuk dua kelemahan kritis zero-day di browser Firefox-nya, versi modifikasi yang bertindak sebagai dasar dari Tor Browser.
Dilacak sebagai CVE-2022-1802 dan CVE-2022-1529, dua kerentanan adalah apa yang disebut sebagai polusi prototipe yang dapat dipersenjatai untuk mendapatkan eksekusi kode JavaScript pada perangkat yang menjalankan versi rentan dari Firefox, Firefox ESR, Firefox untuk Android, dan Thunderbird .
“Misalnya, setelah Anda mengunjungi situs web jahat, penyerang yang mengendalikan situs web ini mungkin mengakses kata sandi atau informasi sensitif lainnya yang Anda kirim ke situs web lain setelahnya selama sesi Tails yang sama,” demikian bunyi nasihat Tails.
Bug tersebut didemonstrasikan oleh Manfred Paul pada kontes peretasan Pwn2Own edisi ke-15 yang diadakan di Vancouver minggu lalu, di mana peneliti dianugerahi $100.000.
Namun, Peramban Tor yang mengaktifkan tingkat keamanan “Teraman” serta klien email Thunderbird di sistem operasi kebal terhadap kelemahan karena JavaScript dinonaktifkan dalam kedua kasus.
Selain itu, kelemahannya tidak merusak anonimitas dan perlindungan enkripsi yang dimasukkan ke dalam Tor Browser, yang berarti bahwa pengguna Tails yang tidak menangani informasi sensitif dapat terus menggunakan browser web.
“Kerentanan ini akan diperbaiki di Tails 5.1 (31 Mei), tetapi tim kami tidak memiliki kapasitas untuk menerbitkan rilis darurat lebih awal,” kata para pengembang.
Sumber: The Hacker News
