C’est dans un tweet que Zerodium, connu pour faire commerce de failles zéro-day, a annoncé la découverte de failles sur le navigateur Tor, version 7. Elle a pour but de contourner la protection de l’extension NoScript. Les codes actifs des pages web sont donc tous bloqués comme pour JavaScript, Flash, Silverlight… Selon les explications données par le revendeur de failles, le processus a été simple. Son équipe a juste touché à l’entête d’une page web pour que la fonctionnalité NoScript soit désactivée.
Les développeurs de NoScript ont rapidement corrigé la faille. Et les utilisateurs doivent télécharger la version 5.1.8.7. Une autre option pour dépasser la faille est d’installer la version 8 de Tor Browser, disponible depuis la semaine dernière. Elle intègre la version 10.1.9.1 de NoScript. Selon Chaouki Bekrar, la faille est issue d’un bug bounty de décembre 2017. A cette époque, l’entreprise a acquis divers exploits de Tor. La découverte de Zerodium a été partagée avec les clients gouvernementaux selon le modèle économique suivi par la société.
