id: Гость   вход   регистрация
текущее время 00:47 29/03/2024
Владелец: unknown (создано 03/05/2012 22:07), редакция от 04/05/2012 17:24 (автор: unknown) Печать
Категории: софт, tor, уязвимости
https://www.pgpru.com/Новости/2012/КритическаяУязвимостьВТорбраузереРаскрываетЗапросыПользователей
создать
просмотр
редакции
ссылки

03.05 // Критическая уязвимость в TorBrowser раскрывает запросы пользователей


Torproject уведомляет своих пользователей об обнаружении критической уязвимости в TorBrowser.


В текущей версии программы обращение к сайтам, использующим технологию веб-сокетов, приводит к срабатыванию кода в браузере Firefox, обходящего настройки тор-DNS. Из-за этого DNS-запросы идут в соответствии с настройками на компьютере пользователя, имена просматриваемых им сайтов становятся видны его провайдеру, используемому им DNS-серверу и любому промежуточному узлу сети между ними, способному прослушивать нешифрованные соединения.


До выхода исправленной версии TorBrowser предлагается предлагалось временное решение:


  • Набрать about:config в адресной строке браузера. Нажать Enter.
  • Набрать websocket в поисковом окне.
  • Двойным щелчком изменить состояние поля network.websocket.enabled. После этого оно должно показывать false в столбце Value.

В настоящее время доступна обновлённая версия, в которой данная уязвимость исправлена.


Источник: TorProject blog


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— unknown (05/05/2012 10:22, исправлен 05/05/2012 10:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Исходники файрфокса. Без патченного файрфокса TorButton бесполезен, он принципиально и не мог закрыть эту дыру. Будет ли сама Mozilla принимать этот патч в апстрим — сомнительно, так что проджекту придёться пока эту фичу поддерживать в своём торбраузере самостоятельно. Как и множество других.


Это ответ и на вопрос в начале темы:


использование непатченного FF с прокси (как раньше было для privoxy/polipo) неактуально по причине этого и потенциальных аналогичных багов.

— Гость (05/05/2012 11:48)   <#>
TorButton последний раз фиксил сам аффтар))
1.4.5.1
17 Dec 2011
  • bug 4722: Fix ability to drag tabs on Windows (due to #4517)

зы: у госпожи Кларк окончательно мозги сифилис съел, походу даже не читала изменения свистелок в релизе FF12.0
— Гость (05/05/2012 11:59)   <#>
Даже не представляю, что делать, если тор проджект сдуется. Кто все это будет править?
— Гость (05/05/2012 12:15)   <#>
Что за госпожа Кларк?
— Гость (05/05/2012 12:34)   <#>
Даже не представляю, что делать, если тор проджект сдуется. Кто все это будет править?
они сейчас набирают на работу, отошлите им свое резюме :-)
ZOG бог даст – не сдуется.
— Гость (05/05/2012 12:57)   <#>
А почему в about:config переменная по прежнему network.websocket.enabled
Что эти деятели там пофиксили? Сомнительно,что за такой короткий промежуток времени,они смогли разобрать весь код браузера и найти эту багу с websocket.
Mozilla им явно не помощник)
— unknown (05/05/2012 13:08)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Здесь написано. Конкретно на предмет этой баги с вебсокетами код грепается по полю DNS. Глазами вручную его весь явно никто не просматривал.
— sentaus (05/05/2012 13:08)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
А почему в about:config переменная по прежнему network.websocket.enabled

Это имя переменной. А какое у неё стоит значение? Должно быть false.

Сомнительно,что за такой короткий промежуток времени,они смогли разобрать весь код браузера и найти эту багу с websocket.

Скорее всего, кто-то случайно заметил соединение мимо тора, а дальше начали разбираться.
— unknown (05/05/2012 13:12, исправлен 05/05/2012 13:13)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Патч не отключает вебсокеты, а исправляет работу с DNS, так что их запросы теперь идут через тор.


и заметил это на странице bitcoincharts.org с кода которой стало ясно, что дело в вебсокетах.

— Гость (05/05/2012 13:13)   <#>
Это имя переменной. А какое у неё стоит значение? Должно быть false.

нет в 2.2.35-11 сейчас стоит TRUE! (по дефолту)

network.websocket.enabled – true

проверьте у себя
— unknown (05/05/2012 13:14, исправлен 05/05/2012 13:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Так и должно быть. Отключение вебсокетов вручную было временным решением. Теперь они работают безопасно.

— Гость (05/05/2012 13:19)   <#>

не открывается. а где еще найти такие сайты чтобы прверить?
— sentaus (05/05/2012 13:22)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Патч не отключает вебсокеты, а исправляет работу с DNS, так что их запросы теперь идут через тор.


Да, пропустил :)
— unknown (05/05/2012 13:26)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Sorry,

http://bitcoincharts.com/
— Гость (07/05/2012 15:26)   <#>
Судя по https://wiki.mozilla.org/Enter.....ndedSupport:Proposal
Firefox версии 10 получил статус LTS (Long Term Support) и будет обновляться до 2013.

Так какого чёрта они на нём не остались, раз им времени нехватает тестировать?
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3