22.07 // Подозрения о наличии опасной zero-day уязвимости в дистрибутиве Tails
Вице-президент компании Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, рассказал о выявлении в дистрибутиве Tails (The Amnesic Incognito Live System) опасной уязвимости, позволяющей получить удалённый контроль над системой и деанонимизировать пользователя. Сообщается, что проблема присутствует во всех выпусках, включая ещё не анонсированный выпуск Tails 1.1, образы которого несколько часов назад были загружены на FTP-сервер проекта.
Tails выполнен в виде Live-системы, позволяющей из коробки обеспечить максимальный уровень анонимности и безопасности. Наиболее известными пользователями дистрибутива являются Брюс Шнайер и Эдвард Сноуден. Примечательно, что руководитель Exodus Intelligence ограничился голословными заявлениями о наличии проблемы и пообещал раскрыть информацию в будущем, не представив никаких доказательств наличия уязвимости. Кроме того, информация была опубликована не в специализированном издании, а в финансово-экономическом журнале Forbes.
Не исключено, что заявление является провокацией, направленной на подрыв авторитета Tails. Также возможно, что источником проблемы является Firefox, который предлагается в Tails в качестве браузера по умолчанию, и в котором сегодня были устранены 4 критические уязвимости (CVE-2014-1547, CVE-2014-1548, CVE-2014-1551, CVE-2014-1556).
Источник: http://www.opennet.ru/opennews/art.shtml?num=40252
комментариев: 9796 документов: 488 редакций: 5664
[политота]
И противники Лукашенко в Беларуси.
[/политота]
А вот ченджлог с уязвимостями, обзор на торпроджекте.
комментариев: 1079 документов: 58 редакций: 59
[оффтоп]
SATtva, а сделай пожалуйста в новом движке фичу с упоминанием ника юзера. Ну мол "...что m0fx64 порадует действительно достойным..." я ставлю "@" (@m0fx64), и когда он заходит – видит уведомления о себе в различных темах. В духе, как на Хабре сделано. Как смотришь на это?
[/оффтоп]
комментариев: 11558 документов: 1036 редакций: 4118
Идея понятна, посмотрю.
Ещё не фикс.
((username:ressa ressa)) уже не комильфо?
I2P сервис cтартует автоматически?
А всё потому, что шифропанковскую говноподелку почему-то потащили в Tails.
А ведь сколько тут я предупреждал, что нет виртуалок — нет анонимности. Уязвимость ⇒ выполнение произвольного кода ⇒ утягивание IP, который знают все процессы. Гостевая ОС не должна знать свой внешний IP.
Из блога Exodus Intelligence следует, что уязвимость непосредственно в I2P, а не в особенностях (если такие есть) использования в Tails .
Неужели у них есть local root exploit? :)
Внезапно, не уязвимость совсем, смотрите что нажимаете, ждите стабильной версии, а они не торопятся.
быстрофикс