Nul
Zerodium, een bedrijf dat koopt en verkoopt kwetsbaarheden in populaire software, heeft gepubliceerd details vandaag op Twitter over een zero-day kwetsbaarheid in de Tor Browser, Firefox gebaseerde browser gebruikt door de privacy-bewuste gebruikers voor het navigeren op het web via de anonimiteit die door het Tor-netwerk.
In een tweet, Zerodium zei de kwetsbaarheid is een volledige bypass van de “Veiligste” security level van de NoScript extensie die wordt standaard meegeleverd met alle Tor Browser distributies.
NoScript is een browser extensie die maakt gebruik van een whitelist aanpak om de gebruiker te laten beslissen vanaf welke domeinen kan de browser uitvoeren van JavaScript, Flash, Java of Silverlight-content. Het is opgenomen met alle Tor Browser distributies, omdat het zorgt voor een extra laag van beveiliging voor Tor Browser gebruikers.
Zerodium Tor zero-day in principe kan schadelijke code worden uitgevoerd binnen het Tor-Browser door het omzeilen van NoScript-script-het blokkeren van het vermogen.
Volgens Zerodium, de zero-day heeft alleen invloed op de Tor Browser 7.x-serie. De Tor Browser 8.x tak, die vorig week, wordt niet beïnvloed.
De reden hiervoor is dat de Tor Browser 8.x-serie geschakeld met de onderliggende codebase van een oudere Firefox kern van de nieuwe Firefox-Quantum-platform, dat gebruik maakt van een nieuwe add-ons-API.
De NoScript add-on is herschreven en aan het einde van vorig jaar om te werken aan de nieuwe Firefox-Quantum-platform, vandaar de reden waarom de zero-day bleek vandaag niet werken op de nieuwe Tor Browser 8.x-serie.
In een interview met ZDNet, Giorgio Maone, de auteur van het NoScript extensie, zei de zero-day werd veroorzaakt door een tijdelijke oplossing voor NoScript blokkeert de Tor Browser browser-JSON-viewer.
Maone was zich niet bewust van de kwetsbaarheid voor ZDNet nam contact met hem op eerder vandaag.
Na het succesvol reproduceren van het probleem, Maone beloofd een update naar de NoScript add-on voor later vandaag, tot vermindering van de zero-day ‘ s effecten.
“Ik ga release van de update binnen 24 uur of minder, zoals ik altijd heb gedaan in het verleden,” Maone vertelde ZDNet.
Het Tor Project beantwoord ZDNet ‘ s verzoek om commentaar, maar was niet bereid om een officiële verklaring voor dit artikel de publicatie.
In een e-mail uitwisseling met ZDNet, Zerodium CEO Chaouki Bekrar meer details over de huidige zero-day.
“We hebben gelanceerd in December 2017 een specifiek en beperkt in de tijd bug bounty voor Tor Browser en we hebben ontvangen en verworven, tijdens en na de bounty, veel Tor exploits voldoen aan onze eisen,” Bekrar vertelde ZDNet.
“Deze Tor Browser exploit werd overgenomen door Zerodium vele maanden geleden als een zero-day en werd gedeeld met onze klanten van de overheid.
“We hebben besloten om dit bekend te maken exploiteren als het bereiken van de einde-van-leven en het is niet van invloed zijn op de Tor Browser versie 8, die vorige week uitgebracht. We wilden ook om de bewustwording over het gebrek (of onvoldoende) het controleren van de beveiliging van de belangrijkste onderdelen gebundeld standaard met Tor Browser en vertrouwd door miljoenen gebruikers.
“De exploit zelf blijkt geen gegevens zoals het moet gekoppeld worden aan andere exploits, maar het omzeilt één van de belangrijkste maatregelen voor de beveiliging van de Tor Browser die wordt geleverd door NoScript component.
“Als een gebruiker stelt zijn Tor browser beveiliging niveau “Veiligste” gericht op het blokkeren van JavaScript vanaf alle websites bijvoorbeeld om te voorkomen dat misbruik, de gemelde bug zou een website of een verborgen service te omzeilen alle NoScript beperkingen en het uitvoeren van een JavaScript-code, waardoor de ‘Veiligste’ beveiligingsniveau nutteloos tegen browser exploits,” Bekrar toegevoegd.
ZDNet adviseert Tor Browser 7.x-gebruikers de update naar Tor Browser 8.x, of zorg in ieder geval voor installeren van de NoScript-update die Maone beloofd voor later op de dag. De huidige versie van NoScript opgenomen met Tor Browser 7.5.6 is NoScript 5.1.8.6.
UPDATE: Minuten na dit artikel de publicatie, Maone uitgebracht NoScript “Klassieke” versie 5.1.8.7, waarin het zero-day exploitatie vector. De patch kwam precies twee uur na Zerodium vrijgegeven details op Twitter. Maone ook vertelde ZDNet dat de bug werd geïntroduceerd in NoScript 5.0.4, uitgebracht op den 11 Mei 2017.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0