接続経路を匿名化する「Tor」の脆弱性を修正した「Tor Browser」v7.0.2がリリース

「Tor Browser」v7.0.2

　匿名性を重視したWebブラウザー「Tor Browser」の最新安定版v7.0.2が3日、正式公開された。Windows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在“Tor Project”のWebサイトからダウンロードできる。

　「Tor Browser」は、接続経路を匿名化する「Tor」をあらかじめ組み込んだ「Firefox」ベースのWebブラウザー。「HTTPS Everywhere」「NoScript」などの拡張機能もあらかじめ組み込まれており、セキュリティとプライバシー保護を強化することができる。

　今回のアップデートでは、「Tor」がv0.3.0.9へ、「HTTPS-Everywhere」がv5.2.19へ更新された。特に「Tor」では、パス選択の不具合が修正されているので注意。クライアントが同一のネットワークファミリーに存在するガードリレーを出口リレーとして選択してしまう恐れがあり、最悪の場合、リモートの攻撃者による匿名性の侵害を招く恐れがある。本脆弱性（CVE-2017-0377）は「Tor」v0.3.0.1-alphaで混入した退行バグで、v0.3.0.xまたはv0.3.1.xを利用しているユーザーはv0.3.0.9またはv0.3.1.4-alphaへの更新が推奨されている。

　なお、「Tor」v0.2.4およびv0.2.6、v0.2.7のサポートは8月1日で打ち切られる。長期のサポートが必要な場合は、2020年1月1日までサポートされるv0.2.9への移行が推奨されている。