Noll
Zerodium, ett företag som köper och säljer sårbarheter i populära program, har uppgifter som offentliggörs i dag på Twitter om en noll-dag sårbarhet i Tor Browser, ett Firefox-baserad webbläsare som används av privatlivet medvetna användare för att navigera på webben genom den anonymitet som tillhandahålls av Tor-nätverket.
I en tweet, Zerodium sade sårbarhet är en fullständigt förbi den “Säkraste” säkerhetsnivå NoScript tillägg som ingår som standard i alla Tor Browser distributioner.
NoScript är ett tillägg till webbläsaren som använder en vitlista strategi att låta användaren bestämma från vilka domäner webbläsaren kan köra JavaScript, Flash, Java, Silverlight eller innehåll. Det ingår i alla Tor Browser fördelningar eftersom det ger ett extra lager av säkerhet för Tor Browser användare.
Zerodium Tor zero-day i grund och botten gör att skadlig kod körs inuti Tor Browser genom att kringgå NoScript manus-blockera förmåga.
Enligt Zerodium, zero-day påverkar endast Tor Browser 7.x-serien. Tor Browser 8.x-gren, som släpptes i förra veckan, påverkas inte.
Anledningen är att Tor Browser 8.x-serien slås dess underliggande kodbasen från en äldre Firefox kärnan till den nya Firefox Quantum plattform, som använder en ny add-ons API.
NoScript tillägg skrevs i slutet av förra året för att arbeta på nya Firefox Quantum plattform, därav anledningen till varför zero-day avslöjade i dag inte fungerar på den nya Tor Browser 8.x-serien.
I en intervju med ZDNet, Giorgio Maone, författaren av the NoScript förlängning, sade zero-day orsakades av en lösning för NoScript blockering Tor Browser i browser JSON-viewer.
Maone var inte medvetna om sårbarheten innan ZDNet kontaktat honom tidigare idag.
Efter att framgångsrikt reproducera problemet Maone lovat en uppdatering till the NoScript add-on för senare idag, för att mildra zero-day-effekter.
“Jag kommer att släppa uppdateringen inom 24 timmar eller mindre, som jag alltid gjorde förr i tiden,” Maone berättade ZDNet.
Tor-Projektet besvarade ZDNet begäran för en kommentar men var inte beredd att utfärda ett officiellt uttalande innan denna artikel publicerades.
I en mailkonversation med ZDNet, Zerodium VD Chaouki Bekrar förutsatt mer information om dagens zero-day.
“Vi har lanserat tillbaka i December 2017 ett specifikt och tidsbegränsat bug bounty för Tor Browser och vi har fått och förvärvade, under och efter bounty, många Tor utnyttjar uppfylla våra krav,” Bekrar berättade ZDNet.
“Denna Tor Browser utnyttja förvärvades av Zerodium många månader sedan som en zero-day och var gemensamt med våra kunder regeringen.
“Vi har beslutat att lämna ut denna bedrift som den har nått slutet av sin livslängd och det är inget som påverkar Tor Browser version 8 som släpptes förra veckan. Vi ville också att öka medvetenheten om bristen (eller otillräcklig) säkerhetsgranskning av viktiga komponenter levereras som standard med Tor Browser och betrodd av miljontals användare.
“Utnyttja sig inte avslöja några uppgifter som det måste vara fastkedjad att andra utnyttjar, men det kringgår en av de viktigaste säkerhetsåtgärderna för Tor Browser som tillhandahålls av NoScript komponent.
“Om en användare sätter sina Tor browser säkerhetsnivån till “Säkraste” som syftar till att blockera alla JavaScript från alla webbplatser bland annat för att förhindra exploits, det avslöjas felet skulle tillåta en webbplats eller en dold service för att kringgå alla NoScript begränsningar och köra JavaScript-kod, vilket gör den “Säkraste” säkerhetsnivå värdelös mot webbläsaren utnyttjar,” Bekrar läggas till.
ZDNet råder Tor Browser 7.x-användare att uppdatera till Tor Browser 8.x, eller åtminstone se till att installera NoScript uppdatering som Maone utlovas till senare i dag. Den nuvarande NoScript version ingår med Tor Browser 7.5.6 är NoScript 5.1.8.6.
UPPDATERING: några Minuter efter att denna artikel publicerades Maone släppt NoScript “Klassiska” version 5.1.8.7 som fixar zero-day exploatering vektor. Patchen kom exakt två timmar efter Zerodium släppt detaljer på Twitter. Maone berättade också ZDNet att felet introducerades i NoScript 5.0.4, som släpptes den 11 Maj 2017.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0