openPGP в России

06.08 // Уведомление о критической уязвимости в Tor Browser

Атака, эксплуатирующая критическую уязвимость^[link1] в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями^[link2], касающимися приватности).

Эта уязвимость исправлена^[link3] в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:

2.3.25-10^[link4] (дата выпуска 26 июня 2013)
2.4.15-alpha-1^[link4] (дата выпуска июня 26 2013)
2.4.15-beta-1^[link5] (дата выпуска 8 июля 2013)
3.0alpha2^[link6] (дата выпуска 30 июня 2013)

Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.

Кто подвержен уязвимости

В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.

Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию^[link7].

Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.

Последствия

Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые^[link8] версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов^[link9], и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.

На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.

Рекомендации

Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.

Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/

В третьих, учтите, что это не первая уязвимость^[link10] в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс^[link11] для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy^[link12]. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.

В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails^[link13]. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.

Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить^[link14] удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией^[link15], таких как основанные на виртуальных машинах Whonix^[link16] и WiNoN^[link17]. Пожалуйста, окажите в этом свою помощь!

Источник: Tor Announce mailing list^[link18]