Uzņēmums, kas pārdod izmantojumus valdības aģentūrām, pārtrauc Tor Browser nulles dienu pakalpojumā Twitter pēc tam, kad nesenais Tor Browser atjauninājums padara ekspluatāciju mazāk vērtīgu.
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk
Uzņēmums Zerodium, kas pērk un pārdod populārās programmatūras ievainojamības, šodien Twitter ir publicējis detalizētu informāciju par nulles dienas ievainojamību. pārlūkprogrammā Tor — uz Firefox balstītā pārlūkprogrammā, ko izmanto lietotāji, kuri apzinās privātumu, lai pārvietotos tīmeklī, izmantojot Tor nodrošināto anonimitāti. tīkls.
TvītāZerodium teica, ka ievainojamība ir pilnīga NoScript paplašinājuma "drošākā" drošības līmeņa apiešana, kas pēc noklusējuma ir iekļauta visos Tor Browser izplatījumos.
NoScript ir pārlūkprogrammas paplašinājums, kas izmanto baltā saraksta pieeju, lai ļautu lietotājam izlemt, no kuriem domēniem pārlūkprogramma var izpildīt JavaScript, Flash, Java vai Silverlight saturu. Tas ir iekļauts visos Tor Browser izplatījumos, jo tas nodrošina papildu drošības līmeni Tor Browser lietotājiem.
Zerodium Tor nulles diena pamatā ļauj ļaunprātīgam kodam darboties Tor pārlūkprogrammā, apejot NoScript skriptu bloķēšanas spēju.
Saskaņā ar Zerodium, nulles diena ietekmē tikai Tor Browser 7.x sēriju. Tor Browser 8.x filiāle, izlaista pagājušajā nedēļā, netiek ietekmēts.
Iemesls ir tāds, ka Tor Browser 8.x sērija mainīja savu pamatā esošo koda bāzi no vecāka Firefox kodola uz jauno Firefox Quantum platformu, kas izmanto jaunu pievienojumprogrammu API.
NoScript papildinājums tika pārrakstīts pagājušā gada beigās, lai strādātu ar jauno Firefox Quantum platforma, tāpēc šodien atklātā nulles diena nedarbojas jaunajā Tor Browser 8.x sērija.
Tāpat: 7 padomi MVU datu drošības uzlabošanai Tehniskā Republika
Intervijā ar ZDNet, Džordžo Maone, NoScript paplašinājuma autors, sacīja, ka nulles dienu izraisīja NoScript risinājums, kas bloķē Tor Browser pārlūkprogrammas JSON skatītāju.
Maone iepriekš nezināja par ievainojamību ZDNet sazinājās ar viņu šodien.
Pēc veiksmīgas problēmas atkārtošanas Maone apsolīja šodien vēlāk atjaunināt NoScript papildinājumu, lai mazinātu nulles dienas sekas.
"Es izlaidīšu atjauninājumu 24 stundu laikā vai mazāk, kā es vienmēr darīju agrāk," sacīja Maone ZDNet.
Tor Project atbildēja uz ZDNetlūgumu komentēt, taču nebija gatavs sniegt oficiālu paziņojumu pirms šī raksta publicēšanas.
E-pasta apmaiņā ar ZDNet, Zerodium izpilddirektors Chaouki Bekrar sniedza sīkāku informāciju par šodienas nulles dienu.
Tāpat: Kāpēc bezmaksas VPN nav vērts uzņemties risku
“Mēs 2017. gada decembrī esam ieviesuši īpašu un ierobežotu laiku kļūdu balva Tor pārlūkam un mēs esam saņēmuši un iegādājušies daudzus Tor ekspluatācijas veidus, kas atbilst mūsu prasībām,” sacīja Bekrars. ZDNet.
"Šo Tor pārlūkprogrammas izmantošanu Zerodium iegādājās pirms daudziem mēnešiem kā nulles dienu, un tā tika kopīgota ar mūsu valdības klientiem.
"Mēs esam nolēmuši atklāt šo izmantošanu, jo tas ir sasniedzis savas dzīves beigas, un tas neietekmē Tor Browser versiju 8, kas tika izlaista pagājušajā nedēļā. Mēs arī vēlējāmies palielināt informētību par galveno komponentu, kas pēc noklusējuma ir komplektēti ar Tor Browser un kuriem uzticas miljoniem lietotāju, drošības audita trūkumu (vai nepietiekamu).
Tāpat: Labākās mājas drošības ierīces 2018. gadā CNET
"Izmantošana pati par sevi neatklāj nekādus datus, jo tā ir jāsaista ar citiem ekspluatācijas veidiem, bet tā apiet vienu no svarīgākajiem Tor Browser drošības pasākumiem, ko nodrošina NoScript komponents.
"Ja lietotājs iestata savam Tor pārlūkprogrammas drošības līmeni uz "Drošākais", lai bloķētu visu JavaScript no visām vietnēm, piemēram, lai novērstu ļaunprātīgu izmantošanu, atklātā kļūda ļaus vietni vai slēptu pakalpojumu, lai apietu visus NoScript ierobežojumus un izpildītu jebkuru JavaScript kodu, padarot “drošāko” drošības līmeni bezjēdzīgu pret pārlūkprogrammas ļaunprātīgu izmantošanu,” Bekrars. pievienots.
ZDNet iesaka Tor Browser 7.x lietotājiem atjaunināt uz Tor Browser 8.x vai vismaz noteikti instalēt NoScript atjauninājumu, ko Maone apsolīja šodien. Pašreizējā Tor Browser 7.5.6 iekļautā NoScript versija ir NoScript 5.1.8.6.
ATJAUNINĀT: Dažas minūtes pēc šī raksta publicēšanas Maone izlaida NoScript "Classic" versija 5.1.8.7, kas nosaka nulles dienas izmantošanas vektoru. Plāksteris parādījās tieši divas stundas pēc tam, kad Zerodium publicēja informāciju Twitter. Maone arī pastāstīja ZDNet ka kļūda tika ieviesta versijā NoScript 5.0.4, kas tika izlaista 2017. gada 11. maijā.
ATJAUNINĀJUMS 11. septembrī, 10:30 EST: Tor Project pārstāvis pastāstīja ZDNet, ka viņi nebija informēti par izmantošanu, pirms Zerodium to atklāja Twitter. Tor Project dalībnieks apstiprināja Zerodium izpilddirektora Čauki Bekrara teikto ZDNet -- ka būtu nepieciešama otra izmantošana, lai nodarītu reālu kaitējumu Tor Browser lietotājiem
"Tā ir kļūda programmā NoScript, nevis Tor Browser nulles dienas izmantošana, kas apiet tā privātuma aizsardzību," sacīja Tor Project pārstāvis. "Lai apietu Tor, joprojām būtu nepieciešama īsta pārlūkprogrammas izmantošana."
Šie ir 2018. gada lielākie uzlaušanas gadījumi, noplūdes un datu pārkāpumi
Iepriekšējais un saistītais pārklājums:
Kas ir ļaunprātīga programmatūra? Viss, kas jums jāzina
Kiberuzbrukumi un ļaunprātīga programmatūra ir viens no lielākajiem draudiem internetā. Uzziniet par dažādiem ļaunprātīgas programmatūras veidiem un to, kā izvairīties no uzbrukumu upuriem.
101. drošība. Tālāk ir norādīts, kā soli pa solim saglabāt savu datu privātumu
Šis vienkāršais padoms palīdzēs aizsargāt jūs pret hakeriem un valdības uzraudzību.
VPN pakalpojumi 2018: labākais ceļvedis jūsu datu aizsardzībai internetā
Neatkarīgi no tā, vai atrodaties birojā vai ceļā, VPN joprojām ir viens no labākajiem veidiem, kā pasargāt sevi lielajā, sliktajā internetā.