Zero-Day ευπάθεια πλήττει τον Tor Browser

firefox-tor-exploit

Το Zerodium, ο διαβόητος πωλητής που προσέφερε το 1 εκατομμύριο δολάρια για την υποβολή ευπάθειας 0-day για το πρόγραμμα περιήγησης Tor, αποκάλυψε δημοσίως μια κρίσιμη ευπάθεια στο ανώνυμο λογισμικό περιήγησης που θα μπορούσε να αποκαλύψει την ταυτότητά σας στους ιστότοπους που επισκέπτεστε.

Σε ένα Tweet, το Zerodium μοιράστηκε το 0-day που βρίσκεται στο plugin του προγράμματος περιήγησης NoScript και έρχεται προεγκατεστημένo με το Mozilla Firefox που περιλαμβάνεται στο λογισμικό Tor 1.

Το NoScript 2 είναι μια δωρεάν επέκταση του προγράμματος περιήγησης που απενεργοποιεί, από προεπιλογή, κακόβουλο JavaScript, Java, Flash και άλλο δυνητικά επικίνδυνο περιεχόμενο σε όλες τις ιστοσελίδες, παρόλο που οι χρήστες μπορούν να βάλουν σε εξαιρέσεις, τις τοποθεσίες που εμπιστεύονται.

firefox-tor-exploitΣύμφωνα με το Zerodium, οι εκδόσεις NoScript «Classic» 5.0.4 έως 5.1.8.6 – με ενεργοποιημένο το επίπεδο ασφαλείας «Safest» – που περιλαμβάνονται στο Tor Browser 7.5.6 μπορούν να παρακάμπτονται για να τρέξουν οποιοδήποτε αρχείο JavaScript, αλλάζοντας το περιεχόμενο που είναι σε JSON μορφή.

Με άλλα λόγια, ένας ιστότοπος μπορεί να εκμεταλλευτεί αυτό το κενό ασφαλείας για να εκτελέσει κακόβουλο JavaScript στα προγράμματα περιήγησης Tor των θυμάτων, έτσι ώστε να εντοπίσει αποτελεσματικά την πραγματική διεύθυνση IP τους και να κινδυνεύσει η ιδιωτικότητά τους.

Θα πρέπει να σημειωθεί ότι η τελευταία έκδοση του προγράμματος περιήγησης Tor, δηλαδή του Tor 8.0, δεν είναι ευάλωτη σε αυτό το σφάλμα, καθώς το plugin NoScript που έχει σχεδιαστεί για τη νεότερη έκδοση του Firefox («Quantum») βασίζεται σε διαφορετική μορφή API.

Ως εκ τούτου, οι χρήστες του Tor 7.x  συνιστάται ιδιαίτερα να ενημερώσουν αμέσως το πρόγραμμα περιήγησης τους με την τελευταία έκδοση Tor 8.0. Το NoScript έχει επίσης διορθώσει τη 0-day ευπάθεια με την έκδοση του NoScript «Classic» έκδοση 5.1.8.7.


Παραπομπές:


  1. Tor Browser (official web) 
  2. NoScritp (official web) 
Advertisements

Σου άρεσε το άρθρο; Πες την άποψή σου... έστω και Ανώνυμα:

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση /  Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση /  Αλλαγή )

Σύνδεση με %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.