06.08 // Уведомление о критической уязвимости в Tor Browser
Атака, эксплуатирующая критическую уязвимость в JavaScript была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности).
Эта уязвимость исправлена в Firefox 17.0.7 ESR. Следующие версии Tor Browser Bundle содержат это исправление:
2.3.25-10 (дата выпуска 26 июня 2013)
2.4.15-alpha-1 (дата выпуска июня 26 2013)
2.4.15-beta-1 (дата выпуска 8 июля 2013)
3.0alpha2 (дата выпуска 30 июня 2013)
Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.
Кто подвержен уязвимости
В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.
Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию.
Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.
Последствия
Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.
На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.
Рекомендации
Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.
Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/
В третьих, учтите, что это не первая уязвимость в Firefox, но она может быть не последней. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript. Возможно вас также заинтересует Request Policy. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.
В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.
Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией, таких как основанные на виртуальных машинах Whonix и WiNoN. Пожалуйста, окажите в этом свою помощь!
Источник: Tor Announce mailing list
А разве не на стандартном ли TBB народ разбирал, что делает эксплоит?
Было, потому что Flash и прочее было не просто отключено, а вырвано с корнями и ещё с кучей защит от дураков, чтобы просто так или нечайно включить было нельзя. Если скрипты и Flash включаются парой щелчков, которые хорошо описаны в документации, то не вижу в этом проблемы. Многие доверяют Tor очень секретную информацию, и их безопасность намного важнее, чем безопасность ламеров, которым Tor нужен только для чтения заблокированных арабских бложиков.
На opennet'е идёт 2009ый год, времена torbutton.
Точно 2009-ый. Или всё же 2008-ой?
facepalm. Убейте же этот безграмотный ресурс под названием opennet, убейте его. Он распрострянет только FUD, ложь и невежество в массы.
Мама родная...
комментариев: 11558 документов: 1036 редакций: 4118
Следствия этого — фрагментация пользовательской базы через профилирование и общее снижение анонимности.
Один профиль на весь мир — это слишком мало. Анонимность не дружит с безопасностью. Лучше быть одним из 10000, кто не использует JS (зато не бояться уязвимостей до такой степени), чем быть одним из миллиона, кто окажется тривиально деанонимизируемым. Аноним всё правильно сказал.
Когда возникает эксплоит, чтобы не было профилирования, ваш IP тоже должен отправиться в БД. Нужна вам такая анонимность? IP и местонахождение всех юзеров получили, а ваш нет — вот и профилирование. Класс, да?
Всё.
+1
А вообще, не спорьте Вы с этими, с позволения сказать людьми. Это бесполезно.
Я уже давно понял, что это за ресурс и кто им руководит....
комментариев: 11558 документов: 1036 редакций: 4118
"Я бежал за Вашим автобусом три остановки, чтобы сказать, что Вы мне безразличны!"
Не переживай ты так, скоро каникулы кончатся, времени на ненужные ресурсы станет меньше.
комментариев: 11558 документов: 1036 редакций: 4118
шо зацепило, багром за яйца...?)))
Товарищи офицеры, и не надоело вам?
да какой особо крах? проапгрейдить процессоры можно и в других местах))
главное самим не палиться с джаваскриптом
а мусоркИ пусть гавкают,это их работа))
комментариев: 11558 документов: 1036 редакций: 4118
tl;dr для параноиков: отключите JS.