Это старая редакция страницы Новости / 2013 / Уведомление О Критической Уязвимости В Tor Browser за 06/08/2013 11:38.
06.08 // Уведомление о критической уязвимости в Tor Browser
Атака, эксплуатирующая критическую уязвимость в JavaScript 1 была обнаружена в свободном распространении. В частности, затронутыми оказались пользователи Windows, использующие Tor Browser Bundle (который включает в себя Firefox с исправлениями, касающимися приватности 2).
Эта уязвимость исправлена в Firefox 17.0.7 ESR 3. Следующие версии Tor Browser Bundle содержат это исправление:
2.3.25-10 (дата выпуска 26 июня 2013) 4
2.4.15-alpha-1 (дата выпуска июня 26 2013) 4
2.4.15-beta-1 (дата выпуска 8 июля 2013) 5
3.0alpha2 (дата выпуска 30 июня 2013) 6
Пользователи Tor Browser Bundle должны быть уверены, что они используют последние версии и должны предпринимать дополнительные меры безопасности, указанные ниже.
Кто подвержен уязвимости
В принципе, уязвимы все пользователи всех версий Tor Browser Bundle, вышедших ранее вышеуказанных. Но на практике оказалось, что в действительности уязвимы только пользователи Windows-версий.
Если вы не уверены по поводу вашей версии, кликните "Help -> About Torbrowser" и проверьте, что отображается версия Firefox 17.0.7. См. видеоинструкцию 7.
Для ясности следует отметить, что хотя уязвимость Firefox и является кроссплатформенной, код атаки оказался направленным против Windows. Это значит, что пользователи TBB на Linux и OS X, так же как и пользователи LiveCD систем, таких как Tails, неподвержены данной атаке.
Последствия
Уязвимость позволяет производить выполнение произвольного кода, так что атакующий в принципе может получить контроль над компьютером жертвы. Однако, наблюдаемые версии атаки пытались собирать имя хоста и MAC компьютера жертвы и отправлять их на удалённый веб-сервер посредством соединения не через Tor, а затем приводить к аварийному завершению или выходу из программы 8. Атака оказалась внедрена во множество (или посредством множества) различных скрытых сервисов 9, и логично полагать, что атакующий получил список уязвимых пользователей Tor, которые посещали эти скрытые сервисы.
На данный момент у нас нет оснований полагать, что атака что-либо модифицировала на компьютере жертвы.
Рекомендации
Во-первых, проверьте, что у вас запущены последние версии Tor Browser Bundle. Это должно обезопасить вас от этой атаки.
Во-вторых, поддерживайте актуальность версий и в будущем. Tor Browser Bundle автоматически проверяет актуальность своей версии и уведомляет на домашней странице о необходимости обновления. Последние версии также добавили мигающий символ восклицательного знака поверх луковичной иконки Tor. Сообщения о новых вериях также размещаются в блоге Tor: https://blog.torproject.org/
В третьих, учтите, что это не первая уязвимость в Firefox, но она не может быть последней 10. Подумайте об отключении JavaScript (кликните на синюю букву "S" возле иконки зелёной луковицы и выбирете "Forbid Scripts Globally"). Отключение JavaScript снизит вашу уязвимость к атакам, схожим с этой, но может сделать работу некоторых сайтов не такой, как вами предполагается. В будущих версиях Tor Browser Bundle будет более простой интерфейс для конфигурирования настроек JavaScript 11. Возможно вас также заинтересует Request Policy 12. И также вы можете рэндомизировать MAC-адреса, устанавливать различные файрволлы и др.
В четвёртых, подумайте о переключении на "лайф-систему" наподобие Tails 13. В действительности, уход от Windows является вероятно хорошим шагом в безопасности по многим причинам.
Напоследок, примите во внимание, что в Firefox остаются многие другие векторы для атак. Javascript — это один большой вектор, но есть ещё множество других, таких как css, svg, xml, рендеринг и пр. Необходимо улучшить удобство использования (и провести больше анализа безопасности) в отношении решений с усиленной изоляцией 14, таких как основанные на виртуальных машинах Whonix 15 и WiNoN 16. Пожалуйста, окажите в этом свою помощь!
1 https://www.mozilla.org/securi.....013/mfsa2013-53.html
2 https://www.torproject.org/projects/torbrowser/design/
3 https://blog.mozilla.org/secur.....ulnerability-report/
4 https://blog.torproject.org/bl.....02414-alpha-packages
5 https://blog.torproject.org/bl.....c-packages-available
6 https://blog.torproject.org/bl.....le-30alpha2-released
7 https://media.torproject.org/v.....08-05-TBBversion.mp4
8 http://tsyrklevich.net/tbb_payload.txt
9 https://blog.torproject.org/bl.....-and-freedom-hosting
10 https://www.mozilla.org/securi.....ties/firefoxESR.html
11 https://trac.torproject.org/projects/tor/ticket/9387
12 https://www.requestpolicy.com/
14 https://trac.torproject.org/projects/tor/ticket/7680
15 http://sourceforge.net/projects/whonix/
16 http://dedis.cs.yale.edu/2010/anon/papers/osdi12.pdf
https://trac.torproject.org/projects/tor/ticket/7681
Источник: Tor Announce mailing list