Zerodium nylig rapporteret opdagelsen af en ny nul-dag udnytter i Tor browser. Det samme udnytte leverandør tidligere i år tilbudt $1 millioner for indsendelse sådan en udnytte til Tor browser. Den nye Tor zero-day kunne afsløre identiteten af de besøgte af brugeren hjemmesider.
Zerodium afslører Tor Browser Zero-Day i et tweet
Тhe udnytte leverandør rapporteret fejlen og gav instrukser om, hvordan det kan reproduceres i et tweet lagt ud på mandag. Det fremgår, at den nyligt udgivne Tor Browser 8 påvirkes ikke af nul-dag:
rådgivende: Tor Browser 7.x har en alvorlig vuln / bugdoor fører til fuld bypass Tor / NoScript ’sikreste’ sikkerhedsniveau (formodes at blokere al JS). PoC: Indstil Content-Type af dit html / js side til “text / html;/jSON” og nyde fuld JS Pwnage. Nyligt udgivet Tor 8.x er ikke påvirket.
Så synlig ved tweet, den udnytter handler om en sårbarhed i Tor-browseren, men i virkeligheden det påvirker NoScript. NoScript er en velkendt Firefox udvidelse, som beskytter brugerne mod ondsindede scripts ved at tillade JavaScript, Java, og Flash plugin skal kun udføres på betroede websteder. Det skal bemærkes, at Tor Browser er baseret på Firefox kode, dermed det omfatter NoScript som standard.
Zerodium siger, at NoScript versioner 5.0.4 til 5.1.8.6 kan være omfartsveje at køre nogen JS-fil ved at ændre dens indhold af typen header til JSON-format. Dette kan ske, selv når ”sikreste” sikkerhedsniveauet er aktiveret. Det betyder, at en hjemmeside kan drage fordel af denne zero-day at afvikle ondsindet JavaScript på Tor browser og for at opnå den rigtige IP-adresse af offeret.
Heldigvis, den nyeste version af Tor er ikke berørt af denne sårbarhed, simpelthen fordi NoScript plugin til Quantum version af Firefox er baseret på et andet API-format. Men, brugere, der kører Tor 7.x opfordres til at opdatere browseren så hurtigt som muligt til den nyeste version for at undgå ethvert kompromis.
Endelig, NoScript blev anmeldt om problemet og fast fejl med udgivelsen af NoScript ”Classic” version 5.1.8.7.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: