Zero
Zerodium, una società che compra e vende vulnerabilità nel software popolari, ha pubblicato i dettagli, oggi, su Twitter, su una vulnerabilità zero-day di Tor Browser, Firefox, un browser basato utilizzato da privacy attenti gli utenti per la navigazione web attraverso l’anonimato fornito dalla rete Tor.
In un tweet, Zerodium ha detto che la vulnerabilità è pieno di bypassare il “più Sicuro” livello di sicurezza del NoScript estensione che non è incluso di default con tutti i Browser Tor distribuzioni.
NoScript è un estensione per il browser che utilizza una whitelist approccio per consentire all’utente di decidere da quello che domini il browser è in grado di eseguire JavaScript, Flash, Java, Silverlight contenuto. È incluso con tutti i Browser Tor distribuzioni, in quanto fornisce un ulteriore livello di sicurezza per il Tor Browser degli utenti.
Zerodium Tor zero-day in pratica permette l’esecuzione di codice dannoso all’interno del Browser Tor, bypassando NoScript script-capacità di blocco.
Secondo Zerodium, il giorno zero interessa solo il Tor Browser 7.x la serie. Il Tor Browser 8.x ramo, rilasciato la scorsa settimana, non è interessato.
Il motivo è che il Tor Browser 8.x la serie switched sottostante codice da un vecchio Firefox core per il nuovo Firefox Quantum piattaforma, che utilizza un nuovo add-ons API.
Il NoScript add-on è stato riscritto alla fine dello scorso anno a lavorare sul nuovo Firefox Quantum piattaforma, da qui il motivo per cui il giorno zero, ha rivelato oggi non lavoro sulla nuova Tor Browser 8.x la serie.
In un’intervista a ZDNet, Giorgio maone fino a l’autore dell’estensione NoScript, ha detto che il giorno zero è stato causato da una soluzione per NoScript bloccare il Browser Tor-browser JSON spettatore.
Maone fino a non era a conoscenza della vulnerabilità prima di ZDNet contattato prima di oggi.
Dopo il successo della riproduzione del problema, maone fino promesso un aggiornamento per il NoScript add-on per più tardi di oggi, per mitigare il giorno zero effetti.
“Ho intenzione di rilasciare l’aggiornamento entro 24 ore o meno, come ho sempre fatto in passato, di” maone fino a detto a ZDNet.
Il Progetto Tor risposto a ZDNet richiesta di un commento, ma non era disposta a emettere un comunicato ufficiale prima della pubblicazione di questo articolo.
In uno scambio di email con ZDNet, Zerodium CEO Chaouki Bekrar fornito ulteriori dettagli sulla giornata di oggi zero-day.
“Abbiamo lanciato nel dicembre 2017, una specifica e limitata nel tempo bug bounty per il Tor Browser e abbiamo ricevuto e acquisito, durante e dopo il bounty, molti Tor exploit di soddisfare le nostre richieste,” Bekrar detto a ZDNet.
“Questo Tor Browser exploit è stato acquisito da Zerodium molti mesi fa, come” zero-day e che è stata condivisa con i nostri clienti governativi.
“Abbiamo deciso di divulgare questo exploit come ha raggiunto la fine del ciclo di vita e non interessano Tor Browser versione 8 che è stato rilasciato la scorsa settimana. Abbiamo anche voluto per aumentare la consapevolezza circa la mancanza (o insufficiente) controllo di sicurezza dei principali componenti integrati per impostazione predefinita con Tor Browser e di fiducia da milioni di utenti.
“L’exploit di per sé non rivelare i dati come deve essere incatenato ad altri exploit, ma si evita il verificarsi di una delle più importanti misure di sicurezza di Tor Browser, che viene fornito con NoScript componente.
“Se un utente imposta il suo Tor livello di protezione del browser “più Sicuro”, con lo scopo di bloccare tutti i JavaScript da tutti i siti web, ad esempio per impedire exploit, i comunicati bug, per consentire a un sito web o di un servizio nascosto bypassare tutti NoScript restrizioni ed eseguire il codice JavaScript, rendendo Sicuro il livello di sicurezza inutili contro exploit del browser,” Bekrar aggiunto.
ZDNet consiglia di Tor Browser 7.x gli utenti ad aggiornare a Tor Browser 8.x, o almeno fare in modo di installare NoScript aggiornamento maone fino promesso per oggi. L’attuale NoScript versione inclusa con Tor Browser 7.5.6 è NoScript 5.1.8.6.
AGGIORNAMENTO: pochi Minuti dopo la pubblicazione di questo articolo, maone fino a rilasciato NoScript versione “Classica” 5.1.8.7, che fissa il giorno zero sfruttamento del vettore. La patch è venuto esattamente due ore dopo Zerodium rilasciato dettagli su Twitter. Maone fino anche detto a ZDNet che il bug è stato introdotto in NoScript 5.0.4, ha pubblicato il 11 2017.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0