Nul
Zerodium, et selskab, der køber og sælger sårbarheder i populært software, har offentliggjort detaljerne i dag på Twitter om et zero-day-sårbarhed i Tor Browser, en Firefox-baseret browser, der bruges af privacy-bevidste brugere til at navigere på internettet gennem anonymitet, som Tor-netværket.
I et tweet, Zerodium sagde, at sårbarhed er en fuld bypass af den “Sikreste” sikkerhed i NoScript extension, som er inkluderet som standard med alle Tor Browser-distributioner.
NoScript er en browser udvidelse, der bruger en whitelist tilgang til at lade brugeren bestemme fra hvilke domæner browser kan køre JavaScript, Flash, Java, Silverlight eller indhold. Det er inkluderet med alle Tor Browser distributioner, fordi det giver et ekstra lag af sikkerhed for Tor Browser brugere.
Zerodium Tor nul-dag dybest set tillader skadelig kode for at køre ind Tor Browser ved at forbigå NoScript ‘ s script-blokering evne.
Ifølge Zerodium, zero-day påvirker kun Tor Browser 7.x-serien. Tor Browser 8.x gren, frigivet i sidste uge, er ikke berørt.
Årsagen er, at Tor Browser 8.x-serien skiftede sin underliggende codebase fra en ældre Firefox kernen til den nye Firefox Quantum platform, som bruger en ny add-ons API.
NoScript add-on, der skal skrives i slutningen af sidste år til at arbejde på den nye Firefox Quantum platform, og derfor grunden til, at nul-dag afsløret i dag ikke arbejde på den nye Tor Browser 8.x-serien.
I et interview med ZDNet, Giorgio Maone, forfatteren af NoScript extension, sagde zero-day var forårsaget af en løsning til NoScript blokerer Tor Browser i browser JSON-viewer.
Maone var ikke klar over, hvor sårbare før ZDNet kontaktet ham tidligere i dag.
Efter med succes at gengive spørgsmålet, Maone lovet en opdatering til NoScript add-on til senere i dag, for at mindske zero-day ‘ s effekter.
“Jeg vil frigive opdateringen inden for 24 timer eller mindre, som jeg altid gjorde før i tiden,” Maone fortalte ZDNet.
Tor-Projektet svarede til ZDNet ‘ s anmodning for en kommentar, men var ikke parat til at udstede en officiel erklæring, før denne artikel blev offentliggjort.
I en mail udveksling med ZDNet, Zerodium CEO Chaouki Bekrar flere detaljer om dagens nul-dag.
“Vi har lanceret tilbage i December 2017 specifikke og tidsbegrænsede bug bounty til Tor Browser, og vi har modtaget og købt, under og efter bounty, mange Tor udnytter møde vores krav,” Bekrar fortalte ZDNet.
“Denne Tor Browser exploit blev erhvervet af Zerodium mange måneder siden, som en nul-dag, og blev delt med vores offentlige kunder.
“Vi har besluttet at offentliggøre denne exploit, som det har nået slutningen af deres levetid, og det er ikke berører Tor Browser-version 8, der blev frigivet i sidste uge. Vi ønskede også at skabe opmærksomhed om den manglende (eller utilstrækkelig) sikkerhed revision af større komponenter samlet som standard med Tor Browser og betroede af millioner af brugere.
“Den udnyttelse, der i sig selv ikke afslører nogen data, som det skal være lænket til andre bedrifter, men det omgår en af de vigtigste sikkerhedsforanstaltninger, Tor Browser, som er fastsat af NoScript komponent.
“Hvis en bruger sætter hans Tor browser sikkerhedsniveauet til “Sikreste”, der sigter til at blokere alle JavaScript fra alle websteder, fx for at forhindre udnytter, afsløres fejl, der ville tillade et websted eller en skjult service til at omgå alle NoScript begrænsninger og gennemføre et JavaScript-kode, der gør den “Sikreste” sikkerhedsniveau ubrugelige mod browser udnytter,” Bekrar tilføjet.
ZDNet rådgiver Tor Browser 7.x-brugere til at opdatere til Tor Browser 8.x, eller i det mindste sørge for at installere NoScript opdatering, der Maone lovet til senere i dag. Den nuværende NoScript-version, der følger med Tor Browser 7.5.6 er NoScript 5.1.8.6.
OPDATERING: få Minutter efter denne artikel blev offentliggjort, Maone udgivet NoScript “Klassiske” version 5.1.8.7, som løser zero-day ‘ s udnyttelse vektor. Patch kom præcis to timer efter Zerodium frigivet detaljer om Twitter. Maone også at vide, ZDNet, at fejlen blev indført i NoScript 5.0.4, udgivet den Maj 11 2017.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0