Обнаружена уязвимость Zero Day в браузере TOR
Когда мы говорим о способах безопасного просмотра в Интернете, выбор, который поражает наш разум сразу после VPN, – это TOR. Разумеется, браузер TOR наполняет все безопасные браузеры, которые позволяют вам путешествовать по Интернету с безопасностью и анонимностью. Однако, как и все остальное, вы не можете исключить вероятность ошибок в этом браузере. Недавно кибербезопасность фирмы Zerodium обнаружила уязвимость Zero Day в браузере TOR, который ставит под угрозу его блокировку JS.
Zerodium обнаружили Zero Day в TOR
Как показала ZDNet, кибербезопасность фирмы Zerodium представила короткую консультацию в своем недавнем обсуждении в отношении ошибки TOR. Они обнаружили уязвимость нулевого дня браузера TOR, которая ставит под угрозу одну из функций безопасности TOR. Как описано в твите, ошибка позволяет обойти функцию блокировки JS-кода «NoScript» TOR.
Advisory: Tor Browser 7.x has a serious vuln/bugdoor leading to full bypass of Tor / NoScript 'Safest' security level (supposed to block all JS).
PoC: Set the Content-Type of your html/js page to "text/html;/json" and enjoy full JS pwnage. Newly released Tor 8.x is Not affected.— Zerodium (@Zerodium) September 10, 2018
Хотя они не дали подробных доказательств концепции этой уязвимости, они кратко объяснили это в своем твиттере.
[su_quote]«NoScript» – это типичное расширение браузера, которое позволяет пользователю блокировать JavaScript, Java и Flash на ненадежных веб-сайтах. Однако пользователь может выбрать спецификации для определенных веб-сайтов, чтобы разрешить запуск JS. Разработанный для всех браузеров Mozilla, включая Firefox и SeaMonkey, плагин поставляется по умолчанию с браузером TOR. Этот инструмент улучшает функцию защиты браузера, блокируя все JS, кроме белого списка.[/su_quote]Ошибка, отмеченная Zerodium, влияет на эту особенность TOR, позволяя любому запускать вредоносные коды в браузере, просто обойдя NoScript.
Уязвимость была быстро исправлена
Заметив твит, ZDNet быстро подошла к Джорджио Маоне, который создал расширение NoScript. Maone, в свою очередь, подошел, чтобы найти причины этого нулевого дня браузера TOR и разработал исправление недостатка. Что касается причины запуска этой уязвимости, он объяснил, что ошибка на самом деле была «NoScript 5» классической ошибкой, которая не влияла на браузер TOR 8 и NoScript 10 Quantum.
Как сообщается, в течение 50 минут после раскрытия информации, Джорджио Маоне исправил недостаток в NoScript «Классическая» версия 5.1.8.7, которая теперь доступна.
It's a bug causedby a work-around for NoScript blocking the in-browser JSON viewer.
Thanks @campuscodi for notifying me of the zero day announcement, nobody else did 🙁
A fix is on its way, matter of hours or less. Stay tuned! https://t.co/BsYfZBiwdz— Giorgio Maone (@ma1) September 10, 2018
Пользователи Firefox, TOR и других браузеров могут просто загрузить эту исправленную версию NoScript для смягчения этой уязвимости. Аналогично, пользователям TOR, использующим версии браузера 7.x, необходимо обновить свои браузеры до версии 8.x. Однако те, кто уже работает с TOR 8.x на своих устройствах, остаются в безопасности.
Подписывайтесь на обновления сайта, а также наш Telegram.