22.07 // Подозрения о наличии опасной zero-day уязвимости в дистрибутиве Tails


Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, рассказал[link1] о выявлении в дистрибутиве Tails[link2] (The Amnesic Incognito Live System) опасной уязвимости, позволяющей получить удалённый контроль над системой и деанонимизировать пользователя. Сообщается, что проблема присутствует во всех выпусках, включая ещё не анонсированный выпуск Tails 1.1, образы которого несколько часов назад были загружены[link3] на FTP-сервер проекта.

Tails выполнен в виде Live-системы, позволяющей из коробки обеспечить максимальный уровень анонимности и безопасности. Наиболее известными пользователями дистрибутива являются Брюс Шнайер и Эдвард Сноуден. Примечательно, что руководитель Exodus Intelligence ограничился голословными заявлениями о наличии проблемы и пообещал раскрыть информацию в будущем, не представив никаких доказательств наличия уязвимости. Кроме того, информация была опубликована не в специализированном издании, а в финансово-экономическом журнале Forbes.

Не исключено, что заявление является провокацией, направленной на подрыв авторитета Tails. Также возможно, что источником проблемы является Firefox, который предлагается в Tails в качестве браузера по умолчанию, и в котором сегодня были устранены 4 критические уязвимости[link4] (CVE-2014-1547, CVE-2014-1548,[link5] CVE-2014-1551[link6], CVE-2014-1556[link7]).

Источник: http://www.opennet.ru/opennews/art.shtml?num=40252

Ссылки
[link1] http://www.forbes.com/sites/thomasbrewster/2014/07/21/exploit-dealer-snowdens-favourite-os-tails-has-zero-day-vulnerabilities-lurking-inside/

[link2] https://tails.boum.org/

[link3] http://dl.amnesia.boum.org/tails/stable/tails-i386-1.1/

[link4] https://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox31

[link5] https://www.mozilla.org/security/announce/2014/mfsa2014-56.html

[link6] https://www.mozilla.org/security/announce/2014/mfsa2014-62.html

[link7] https://www.mozilla.org/security/announce/2014/mfsa2014-59.html