Zerodium berichtete kürzlich die Entdeckung eines neuen Zero-Day in Tor-Browser ausnutzen. Das gleiche Exploit-Anbieter zu Beginn dieses Jahres angeboten $1 Millionen für die Vorlage solcher ein Exploit für Tor-Browser. Das neue Tor Zero-Day konnte offenbaren die Identität der Websites durch den Nutzer besucht.
Zerodium enthüllt Tor-Browser-Zero-Day in einem Tweet
ausbeuten Der Erbauer der Anbieter berichteten über die Fehler und gab Anweisungen, wie kann es in ein wiedergegeben werden tweet am Montag. Es scheint, dass der kürzlich veröffentlichten Tor-Browser 8 ist nicht von dem Zero-Day betroffen:
Beratend: Tor-Browser-7.x hat einen ernsten vuln / bugdoor führt zu vollem Bypass von Tor / NoScript ‚Sicherste’ Sicherheitsstufe (soll alle JS blockieren). PoC: Stellen Sie den Content-Type Ihrer html / js Seite “text / html;/json” und genießen volle JS pwnage. Neu veröffentlichte Tor 8.x nicht betroffen ist.
Wie sichtbar durch die tweet, der Exploit ist über eine Schwachstelle im Tor-Browser, sondern in der Tat ist es Auswirkungen NoScript. NoScript ist eine bekannte Firefox-Erweiterung, die Benutzer vor bösartigen Skripten schützt durch JavaScript erlaubt, Java, und Flash-Plugins ausgeführt werden nur auf vertrauenswürdigen Websites. Es sollte angemerkt werden, dass der Tor-Browser auf Firefox-Code basiert, so enthält es NoScript standardmäßig.
Zerodium sagt, dass NoScript Versionen 5.0.4 zu 5.1.8.6 kann umgeht durch Änderung seiner Content-Type-Header zu JSON-Format jeder JS-Datei auszuführen. Dies kann auch geschehen, wenn die „Sicherste“ Sicherheitsstufe aktiviert ist. Dies bedeutet, dass eine Website Vorteil dieses Zero-Day nehmen kann böswilligen JavaScript auf Tor-Browser auszuführen und die echte IP-Adresse des Opfers zu erhalten.
Zum Glück, die neueste Version von Tor ist nicht von dieser Sicherheitsanfälligkeit betroffen, einfach, weil die NoScript-Plugin für die Quantum-Version von Firefox ist auf ein anderen API-Format basiert. Jedoch, Benutzer Tor 7.x ausgeführt werden aufgefordert, den Browser so schnell wie möglich auf die neueste Version zu aktualisieren, Kompromisse zu vermeiden.
Schließlich, NoScript wurde über das Problem benachrichtigt und fixierte den Fehler mit der Veröffentlichung von NoScript „Classic“ -Version 5.1.8.7.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: