06.08 // Уведомление о критической уязвимости в Tor Browser

Атака, эксплуатирующая критическую уязвимость в JavaScript ¹ была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности ²).

Эта уязвимость исправлена в Firefox 17.0.7 ESR ³. Следующие версии Tor Browser Bundle содержат это исправление:

2.3.25-10 (дата выпуска 26 июня 2013) ⁴
2.4.15-alpha-1 (дата выпуска июня 26 2013) ⁴
2.4.15-beta-1 (дата выпуска 8 июля 2013) ⁵
3.0alpha2 (дата выпуска 30 июня 2013) ⁶

Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.

Кто подвержен уязвимости

В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.

Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию ⁷.

Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.

Последствия

Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы ⁸. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов ⁹, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.

На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.

Рекомендации

Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.

Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/

В третьих, учтите, что это не первая уязвимость в Firefox, но она не может быть последней ¹⁰. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript ¹¹. Возможно вас также заинтересует Request Policy ¹². И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.

В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails ¹³. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.

Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией ¹⁴, таких как основанные на виртуальных машинах Whonix ¹⁵ и WiNoN ¹⁶. Пожалуйста, окажите в этом свою помощь!

¹ https://www.mozilla.org/securi.....013/mfsa2013-53.html

² https://www.torproject.org/projects/torbrowser/design/

³ https://blog.mozilla.org/secur.....ulnerability-report/

⁴ https://blog.torproject.org/bl.....02414-alpha-packages

⁵ https://blog.torproject.org/bl.....c-packages-available

⁶ https://blog.torproject.org/bl.....le-30alpha2-released

⁷ https://media.torproject.org/v.....08-05-TBBversion.mp4

⁸ http://tsyrklevich.net/tbb_payload.txt

⁹ https://blog.torproject.org/bl.....-and-freedom-hosting

¹⁰ https://www.mozilla.org/securi.....ties/firefoxESR.html

¹¹ https://trac.torproject.org/projects/tor/ticket/9387

¹² https://www.requestpolicy.com/

¹³ https://tails.boum.org/

¹⁴ https://trac.torproject.org/projects/tor/ticket/7680

¹⁵ http://sourceforge.net/projects/whonix/

¹⁶ http://dedis.cs.yale.edu/2010/anon/papers/osdi12.pdf
https://trac.torproject.org/projects/tor/ticket/7681

Источник: Tor Announce mailing list