Se recomienda a los usuarios de Tails OS que no utilicen el navegador Tor hasta que Firefox corrija sus vulnerabilidades críticas

Los mantenedores del proyecto Tails, emitieron una advertencia acerca de que el navegador Tor, que se incluye con el sistema operativo no es seguro para acceder o ingresar información confidencial.

Tails, abreviatura de The Amnesic Incognito Live System, es una distribución de Linux basada en Debian, orientada a la seguridad cuyo objetivo es preservar la privacidad y el anonimato mediante la conexión a Internet mediante la red Tor.

La alerta llega cuando Mozilla, el 20 de mayo de 2022, implementó correcciones para dos vulnerabilidades críticas de día cero en su navegador Firefox, una versión modificada del cual actúa como la base del navegador Tor.

Rastreadas como CVE-2022-1802 y CVE-2022-1529, las dos vulnerabilidades son lo que se conoce como contaminación prototipo que podría armarse para obtener la ejecución de código JavaScript en dispositivos que ejecutan versiones vulnerables de Firefox, Firefox ESR, Firefox para Android y Thunderbird.

Las vulnerabilidades fueron demostradas por Manfred Paul en la 15° edición del concurso de hacking Pwn20wn celebrada en Vancouver la semana pasada, por el que el investigador recibió 100,000 dólares.

Sin embargo, los navegadores Tor que tienen habilitado el nivel de seguridad «más seguro«, así como el cliente de correo electrónico Thunderbird en el sistema operativo, son inmunes a las vulnerabilidades, ya que JavaScript está deshabilitado en ambos casos.

Además, las vulnerabilidades no rompen las protecciones de anonimato y cifrado integradas en Tor Browser, lo que significa que los usuarios de Tails que no manejan información confidencial pueden continuar usando el navegador web.