Zerodium meldde onlangs de ontdekking van een nieuwe zero-day exploit in Tor browser. Dezelfde exploit leverancier eerder dit jaar aangeboden $1 miljoen voor het indienen van een dergelijke een exploit voor Tor browser. De nieuwe Tor zero-day kon onthullen de identiteit van de websites bezocht door de gebruiker.
Zerodium onthult Tor Browser Zero-Day in een Tweet
Ð ¢ he exploiteren vendor meldde de fout en gaf instructies over hoe het kan worden gereproduceerd in een gekwetter geplaatst op maandag. Het lijkt erop dat de onlangs vrijgegeven Tor Browser 8 wordt niet beïnvloed door het zero-day:
adviserend: Tor Browser 7.x heeft een ernstige vuln / bugdoor leiden tot volledige bypass van Tor / NoScript ‘Veiligste’ beveiligings niveau (verondersteld om alle JS blokkeren). PoC: Stel de Content-Type van uw html / js pagina aan “text / html;/json” en genieten van een volledig JS pwnage. Onlangs vrijgegeven Tor 8.x wordt niet beïnvloed.
Zoals zichtbaar door de tweet, de exploit gaat over een kwetsbaarheid in het Tor browser, maar in feite het invloed NoScript. NoScript is een bekende Firefox-extensie die gebruikers tegen kwaadaardige scripts bewaakt doordat JavaScript, Java, en Flash-plugins alleen op vertrouwde websites worden uitgevoerd. Opgemerkt dient te worden dat de Tor Browser is gebaseerd op Firefox code, dus het bevat NoScript standaard.
Zerodium zegt dat NoScript versies 5.0.4 aan 5.1.8.6 kan omzeilt elk JS bestand uit te voeren door het veranderen van de header content-type JSON-formaat. Dit kan gebeuren wanneer de “veiligste” beveiligingsniveau is ingeschakeld. Dit betekent dat een website kunnen profiteren van deze zero-day kwaadaardige JavaScript uit te voeren op Tor browser en om het echte IP-adres van het slachtoffer te verkrijgen.
Gelukkig, de laatste versie van Tor heeft geen last van dit beveiligingslek, simpelweg omdat de NoScript plugin voor de Quantum versie van Firefox is gebaseerd op een andere API-formaat. Echter, gebruikers die Tor 7.x worden aangespoord om de browser zo snel mogelijk te updaten naar de nieuwste versie elk compromis te vermijden.
Eindelijk, NoScript in kennis is gesteld over de kwestie en vaste de fout met de release van NoScript “Classic” versie 5.1.8.7.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: