id: Гость   вход   регистрация
текущее время 01:11 29/03/2024
Владелец: unknown (создано 06/08/2013 11:38), редакция от 06/08/2013 13:53 (автор: SATtva) Печать
Категории: софт, анонимность, tor, ошибки и баги, атаки
https://www.pgpru.com/Новости/2013/УведомлениеОКритическойУязвимостиВTorBrowser
создать
просмотр
редакции
ссылки

06.08 // Уведомление о критической уязвимости в Tor Browser


Атака, эксплуатирующая критическую уязвимость в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности).


Эта уязвимость исправлена в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:


2.3.25-10 (дата выпуска 26 июня 2013)
2.4.15-alpha-1 (дата выпуска июня 26 2013)
2.4.15-beta-1 (дата выпуска 8 июля 2013)
3.0alpha2 (дата выпуска 30 июня 2013)


Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.

Кто подвержен уязвимости


В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.


Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию.


Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.

Последствия


Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.


На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.

Рекомендации


Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.


Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/


В третьих, учтите, что это не первая уязвимость в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.


В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.


Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией, таких как основанные на виртуальных машинах Whonix и fileWiNoN. Пожалуйста, окажите в этом свою помощь!


Источник: Tor Announce mailing list


 
На страницу: 1, 2, 3, 4, 5, 6 След.
Комментарии [скрыть комментарии/форму]
— Гость (04/08/2013 23:19)   <#>

Какие ваши доказательства? Ну кроме факта сообщения на хабре, с этими пациентами зобмоящика и так всё давно ясно.
Даже если всё так и окажется, внезапно, сейчас то откуда такая информация?
— Гость (05/08/2013 00:24)   <#>
Не знаю, не знаю. Надпись "Down for Maintenance" видел, какие-то сайты работают, какие-то нет. Атак на свою машину не наблюдал, сайты без скриптов таковыми и оставались. Те, на которые я заглянул. Горячая тема=)
На многих сайтах уже просят дисэйблить скрипты, так это желательно всегда делать, несмотря на якобы профилирование.
Инфы на данном этапе маловато, конечно. Думаю, в течение нескольких дней ситуация проясниться. Но по отдельным лоскуткам пока складывается не очень приятное ощущение. Рад ошибаться.
— Гость (05/08/2013 00:28)   <#>

Первоисточник — сайт independent.ie, на него все ссылаются по приведённым ссылкам.
А вот про связь с DEFCON мало что написано, сам не понял.
— Гость (05/08/2013 00:47)   <#>
"Down for Maintenance
Sorry, This server is currently offline for maintenance. Please try again in a few hours."

If you saw this while browsing Tor you went to an onion hosted by Freedom Hosting. The javascript exploit was injected into your browser if you had javascript enabled.

What the exploit does:

The JavaScript zero-day exploit that creates a unique cookie and sends a request to a random server that basically fingerprints your browser in some way, which is probably then correlated somewhere else since the cookie doesn't get deleted. Presumably it reports the victim's IP back to the FBI.

Дело в том, что натыкаясь на подобные этому ответы сервера, никаких скриптов на странице не было. Мне не попались ни разу, наверно я везунчик.
Сейчас некоторые сайты, не будем акцентировать внимание на направленности ресурсов, отдают то такой ответ в стиле 503, то нормально отображаются, правда, некоторые со скриптами. Как было до этих событий — не знаю, раньше не особо интересовался, сейчас же скрипты где-то есть, где-то нет. Какие-то ресурсы вообще не отвечают.
— Гость (05/08/2013 02:35)   <#>
натыкаясь на подобные этому ответы сервера, никаких скриптов на странице не было.

Как вы это определили? Сайт может смотреть, какие фичи есть у браузера: если есть JS, отдавать одну страницу, если нет, то другую. Сайты, принудительно требующие JS в onion (иначе контент не будет показываться) — единичные явления, видел такое от силы пару раз.

сейчас же скрипты где-то есть, где-то нет. Какие-то ресурсы вообще не отвечают.

Я бы посоветовал до прояснения ситуации не шастать по onion-сайтам, если только у вас не double VPN + Tor в затюнингованной виртуалке, где вы полностью отдаёте себе отчёт в том, что делаете.
— Гость (05/08/2013 03:14)   <#>
Видите ли Гость, сайт [цензура] отдаётся то со скриптами, а то со стандартной надписью. Один и то же сайт собственно. При этом профиль браузера один и тот же, экзит тоже.
Ничего страшного не вижу в серфинге онионлэнда. Равно как и не вижу особого смысла в данном случае в даблвпнах и виртуалках. За меня не переживайте. А вот админа, владельца или дропа жалко, если угроза имеет место быть реально. Пока не совсем понятно, что же все же произошло, в коммьюнити паника, судя по сумбурным каментам, идет разбор скриптов, мнения разные и т. д. Я за попкорном, вам захватить?
— Гость (05/08/2013 08:45)   <#>

Там нет указания на FH, Tor, и скрытно-сети.
— SATtva (05/08/2013 09:02)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Комментарий представителей Tor Project: https://blog.torproject.org/bl.....-and-freedom-hosting
— Гость (05/08/2013 09:38)   <#>
Комментарий про JavaScript zero-day exploit на сайте Mozilla: https://blog.mozilla.org/secur.....ulnerability-report/
The vulnerability used is MFSA 2013-53

Анализ экслоита
— unknown (05/08/2013 10:28, исправлен 05/08/2013 10:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

В блоге анонимы пишут, что эксплойт работает против нового FirefoxFF v17, на котором собран JonDoFox и Tor Browser 3.0 alpha. В этом FF новый движок JS, которого нет в стабильной версии TBB. Ещё есть споры по поводу того, что часть эксплойта, которая исполняет произвольный код (в отличие от той, которая только манипулирует cookie и перенаправлением запросов на адреса), неспособна сработать в не-Windows системах.


Стабильную на данный момент версию TBB эта уязвимость вроде как не затрагивает. Но официальных коментов пока нет, да и вариантов эксплойта может быть несколько.

— Гость (05/08/2013 10:43)   <#>

Shellcode
— Гость (05/08/2013 11:06)   <#>

Tor Browser-3.0alpha2 состоит из того-же 17.0.7esr. Если стабильная не затрагивается, то и альфа от 30 июня 2013 тоже не подвержена уязвимости.
— Гость (05/08/2013 13:04)   <#>

Вот эти три коммента интересны: [1], [2] (было на pgpru в новостях), [3]. Интересно, после этой новости TBB-девы отключат JS или им до сих пор неймётся?


А я понял так, что затрагивает. Детального разбора ситуации пока нет, есть только те или иные мнения со сравнительно поверхностным анализом происходящего.
— Гость (05/08/2013 13:07, исправлен 05/08/2013 14:45)   <#>

Классическое превращение слуха в новость. Подробности появляются напрямую из астрала. Вот уже как, оказывается пофикшенная бага в браузере позволила поймать хостера.

— Гость (05/08/2013 13:09)   <#>

В ирландской газете было сказано что он главный facilitator понятно чего. Сразу после этого начались проблемы на FH. Корреляции не доказывают, но прозрачно намекают на тесную связь событий.


Держите в курсе происходящего, да.
На страницу: 1, 2, 3, 4, 5, 6 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3