Tor-Browser-Zero-Day-Schwachstelle Revealed: Patch sofort!
CYBER NEWS

Tor-Browser-Zero-Day-Schwachstelle Revealed: Patch sofort!

1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading ...

Zerodium berichtete kürzlich die Entdeckung eines neuen Zero-Day in Tor-Browser ausnutzen. Das gleiche Exploit-Anbieter zu Beginn dieses Jahres angeboten $1 Millionen für die Vorlage solcher ein Exploit für Tor-Browser. Das neue Tor Zero-Day konnte offenbaren die Identität der Websites durch den Nutzer besucht.




Zerodium enthüllt Tor-Browser-Zero-Day in einem Tweet

ausbeuten Der Erbauer der Anbieter berichteten über die Fehler und gab Anweisungen, wie kann es in ein wiedergegeben werden tweet am Montag. Es scheint, dass der kürzlich veröffentlichten Tor-Browser 8 ist nicht von dem Zero-Day betroffen:

Beratend: Tor-Browser-7.x hat einen ernsten vuln / bugdoor führt zu vollem Bypass von Tor / NoScript ‚Sicherste’ Sicherheitsstufe (soll alle JS blockieren). PoC: Stellen Sie den Content-Type Ihrer html / js Seite “text / html;/json” und genießen volle JS pwnage. Neu veröffentlichte Tor 8.x nicht betroffen ist.

Wie sichtbar durch die tweet, der Exploit ist über eine Schwachstelle im Tor-Browser, sondern in der Tat ist es Auswirkungen NoScript. NoScript ist eine bekannte Firefox-Erweiterung, die Benutzer vor bösartigen Skripten schützt durch JavaScript erlaubt, Java, und Flash-Plugins ausgeführt werden nur auf vertrauenswürdigen Websites. Es sollte angemerkt werden, dass der Tor-Browser auf Firefox-Code basiert, so enthält es NoScript standardmäßig.

Zerodium sagt, dass NoScript Versionen 5.0.4 zu 5.1.8.6 kann umgeht durch Änderung seiner Content-Type-Header zu JSON-Format jeder JS-Datei auszuführen. Dies kann auch geschehen, wenn die „Sicherste“ Sicherheitsstufe aktiviert ist. Dies bedeutet, dass eine Website Vorteil dieses Zero-Day nehmen kann böswilligen JavaScript auf Tor-Browser auszuführen und die echte IP-Adresse des Opfers zu erhalten.

Zum Glück, die neueste Version von Tor ist nicht von dieser Sicherheitsanfälligkeit betroffen, einfach, weil die NoScript-Plugin für die Quantum-Version von Firefox ist auf ein anderen API-Format basiert. Jedoch, Benutzer Tor 7.x ausgeführt werden aufgefordert, den Browser so schnell wie möglich auf die neueste Version zu aktualisieren, Kompromisse zu vermeiden.

Schließlich, NoScript wurde über das Problem benachrichtigt und fixierte den Fehler mit der Veröffentlichung von NoScript „Classic“ -Version 5.1.8.7.

Avatar

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der mit SensorsTechForum ist seit 4 Jahre. Genießt ‚Mr. Robot‘und Ängste‚1984‘. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel!

Mehr Beiträge

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...