2024-02-13
230
2 minutes.


ExpressVPN : Bug avec des années de fuites d’historique de navigation pour les fournisseurs

ExpressVPN a désactivé le tunneling à distance en raison d'un bug qui divulguait des informations sur les domaines visités par les utilisateurs vers des serveurs DNS hébergés par défaut par les FAI.

Vulnérabilité de fuite de requête DNS ExpressVPN

Détection de bugs et audits

Le bug a été découvert dans les versions Windows 12.23 d'ExpressVPN. 1 - 12.72.0, publié du 19 mai 2022 au 7 février 2024. Cela n'affectait que les utilisateurs utilisant la fonction de tunneling, qui permet d'acheminer une partie du trafic Internet via un tunnel VPN. Le bug a été signalé par chercheurs de Bleeping Computer.

ExpressVPN Bug avec des années de fuites d historique de navigation pour les fournisseurs

Cause de la fuite de requête DNS

Cette erreur a provoqué des requêtes DNS que les utilisateurs n'étaient pas invités à faire l’infrastructure ExpressVPN, mais au fournisseur de services Internet.

ExpressVPN Bug avec des années de fuites d historique de navigation pour les fournisseurs

Généralement, toutes les requêtes DNS sont effectuées via les serveurs DNS sécurisés d'ExpressVPN pour empêcher le suivi des domaines visités par l'utilisateur. Cependant, en raison de la vulnérabilité, certaines requêtes DNS ont été envoyées aux serveurs DNS configurés sur l'ordinateur de l'utilisateur, ce qui a permis au FAI de surveiller son activité en ligne.

Ainsi, les utilisateurs Windows utilisant la fonctionnalité de tunneling peuvent avoir compromis la confidentialité de leur historique de navigation, ce qui annule le principal avantage d'une connexion VPN.

Cela permet au fournisseur de voir quels domaines l'utilisateur visite, tels que google.com. Toutefois, le contenu du trafic Internet de l'utilisateur reste crypté et ne peut être consulté par le fournisseur ou par un tiers.

Nombre d'utilisateurs concernés et résolution

Le problème a touché environ 1 % des utilisateurs d'ExpressVPN pour Windows, et la société a réussi à reproduire le problème. bug en mode tunneling "Autoriser uniquement les applications sélectionnées à utiliser le VPN."

ExpressVPN Bug avec des années de fuites d historique de navigation pour les fournisseurs

Il est conseillé aux utilisateurs de mettre à jour le client ExpressVPN de la version 12.23.1 à 12.73.0, ce qui désactive la fonctionnalité de tunneling. La société prévoit de renvoyer cette fonctionnalité dans une nouvelle version lorsque le bug sera complètement corrigé.

Glossaire

  • Les requêtes DNS sont des requêtes visant à établir une connexion avec un serveur DNS pour obtenir l'adresse IP d'un hôte par son nom de domaine .
  • Le tunnel VPN est une connexion sécurisée entre les appareils via Internet, garantissant la confidentialité et la sécurité des informations transmises.
  • Le fournisseur d'accès Internet est une organisation qui fournit un accès à Internet.
  • Bleeping Computer est une ressource bien connue spécialisée dans la sécurité de l'information et l'actualité dans ce domaine.

Liens

Réponses aux questions

Quelle fonctionnalité ExpressVPN a-t-il désactivé ?

ExpressVPN a désactivé la fonctionnalité de tunneling à distance.

Quelle vulnérabilité a été découverte dans ExpressVPN ?

Une vulnérabilité de fuite de requête DNS a été découverte.

Qui a trouvé un bug dans ExpressVPN ?

Le bug a été découvert par des chercheurs de Bleeping Computer.

Qu'est-ce qui a provoqué la fuite des requêtes DNS des utilisateurs ?

Un bug dans ExpressVPN entraînait que les requêtes DNS des utilisateurs étaient dirigées vers le FAI plutôt que vers l'infrastructure ExpressVPN.

Comment ExpressVPN a-t-il résolu le problème ?

La société recommande aux utilisateurs de mettre à niveau le client ExpressVPN vers une version qui désactive la fonctionnalité de tunneling et prévoit de réintroduire cette fonctionnalité dans une nouvelle version une fois le bug entièrement résolu. .

Copywriter Elbuz
Brève description
ExpressVPN a supprimé la fonctionnalité de tunneling fractionné après avoir découvert un bug qui exposait les domaines visités par les utilisateurs aux serveurs DNS des FAI.
Cible de l'article
Informer les utilisateurs d'un bug dans ExpressVPN et mettre en garde contre d'éventuelles fuites d'historique de navigation
Style
Informatif
Cible de l'article
Utilisateurs d'ExpressVPN et FAI


Table des matières:



Enregistrer un lien vers cet article

Discussion sur le sujet – ExpressVPN : Bug avec des années de fuites d’historique de navigation pour les fournisseurs


ExpressVPN a supprimé la fonctionnalité de tunneling fractionné après avoir découvert un bug qui exposait les domaines visités par les utilisateurs aux serveurs DNS des FAI.


Il n’y a aucune évaluation sur ce produit.


Test CAPTCHA basique


Suivant