neprihlásený Streda, 14. novembra 2018, dnes má meniny Irma   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Predajca zraniteľností vládam zverejnil chybu v Tor Browseri

Značky: bezpečnosťTor

DSL.sk, 11.9.2018


Spoločnosť Zerodium nakupujúca bezpečnostné zraniteľnosti v softvéroch a predávajúca ich svojich klientom vrátane vlád sama sprístupnila verejnosti zraniteľnosť v prehliadači Tor Browser, hoci pomerne neštandardným spôsobom.

Zerodium konkrétne zverejnila zraniteľnosť spolu s jednoduchým exploitom, ktoré umožňujú v Tor Browseri verzie 7.x štandardne blokujúcom spúšťanie JavaScriptu pomocou rozšírenia NoScript napriek tomu JavaScript spustiť. To samozrejme ešte neznamená kompletné prekonanie bezpečnosti, eliminuje to ale dôležitý prvok bezpečnostnej architektúry Tor Browseru.

Tor Browser je webový prehliadač vyvíjaný tvorcami klienta a anonymizačnej siete Tor. Tor Browser pristupuje na stránky cez sieť Tor a vychádza z Firefoxu, sú v ňom doinštalované ale rozličné rozšírenia a uskutočnené viaceré zmeny v konfigurácii aj kóde s cieľom maximalizovať ochranu súkromia.

Zerodium chybu zverejnila po tom, ako bola uplynulý týždeň vydaná úplne nová verzia Tor Browser 8.0. Chyba sa technicky nachádza v rozšírení NoScript použitom v Tor Browseri 7.x, voči Tor Browseru 8.0 nie je účinná.

NoScript podľa exploitu nezablokuje JavaScript, ak sa načítava v dokumente s typom nastaveným na text/html;/json. Podľa tvorcu NoScriptu chyba vznikla pri snahe blokovať JSON prehliadač v browseroch a prítomná bola od verzie 5.0.4 z mája minulého roka. Aktuálne už bola sprístupnená aktualizovaná opravená verzia 5.1.8.7.



Podľa informácií Zerodium pre Zdnet spoločnosť získala chybu pred "mnohými mesiacmi" popri "mnohých" iných zraniteľnostiach v Tor-e a odvtedy ju už poskytla vládnym zákazníkom, v súčasnosti po vydaní Tor Browseru 8.0 podľa hodnotenia spoločnosti ale už dosiahla koniec svojej efektívnej životnosti. Jej zverejnením chcela ale tiež poukázať, ako sú nedostatočne bezpečnostne auditované rozličné komponenty zahrnuté v Tor Browseri.



Chyba bola ale zverejnená pomerne neštandardným spôsobom. Nie je jasné, či boli vopred informovaní tvorcovia Tor Browseru a ak áno s akým predstihom, tvorca NoScript, kde sa chyba konkrétne nachádza, podľa jeho informácií upozornený vopred nebol a dozvedel sa to až po zverejnení chyby a exploitu. Chybu opravil následne do niekoľkých hodín.


      Zdieľaj na Twitteri



Najnovšie články:

Ďalšia krajina plánuje zakázať autá so spaľovacím motorom, už od 2030
Mnohé slovenské eshopy majú od dnes pár dní dopravu zdarma
Google mal dlhší výpadok, Nigeríjčania si presmerovali jeho IP
Telekom spustil až 877 Mbps 4G LTE
Ďalšia verzia HTTP bude UDP, založená bude opäť na návrhu Google
V najvýkonnejších superpočítačoch prvýkrát ARM a AMD Epyc procesory
Skladací smartfón Samsungu má prísť v marci, stáť cez 1500 eur
MacBook Pro majú problém s SSD, Apple ich zvoláva
Európa vybrala kde sa pokúsi pristáť na Marse
Rýchly bezpečný DNS 1.1.1.1 k dispozícii pre smartfóny


Diskusia:
                               
 

Dobrý marketing. Odhaliť zraniteľnosť = oprava, vytvorenie dopytu po novej, ktorá už je v ponuke = začiatok ryžovania.
Majú to premyslené chlapci, dievčence a iné bytosti...
Odpovedať Známka: 7.1 Hodnotiť:
 

jašterov si zabudol
Odpovedať Známka: 7.5 Hodnotiť:
 

Nie. Jašterom umožnil aktívnu účasť v pripomienkovom konaní.
Odpovedať Známka: 4.7 Hodnotiť:
 

ine bytosti su lgbtiqqh a spadaju tam aj jasteri, vesmirna hydina a pod.
Odpovedať Známka: 7.8 Hodnotiť:
 

proste chcem byt korektny a neoznacovat deviantov genderovo, aby si ma nahodou po praci nepockali :D
Odpovedať Známka: 7.5 Hodnotiť:
 

Skor mi to pripada, ze klient, ktoremu zranitelnost predali im odmietol zaplatit / nezaplatil plnu sumu / porusil ine podmienky. Tak mu na oplatku spravili toto, aby z nej nemal az taky uzitok.

Odpovedať Známka: 3.3 Hodnotiť:
 

nebud naivny, takto sa biznis nerobi. ak by to odhalili, tak uz im nikto nezaplati. robit to z pomsty a zaroven prist o potencialnych kupcov... no to je fakt hodne len idiota
Odpovedať Známka: 2.5 Hodnotiť:
 

kuuua, ty musíš byť minimálne riaditeľ zemegule, hneď vieš čo a ako a každého sfleku odhadneš, skvelé!
Odpovedať Známka: -1.4 Hodnotiť:
 

a možno som len obdarený logickejším myslením...
Odpovedať Známka: 7.1 Hodnotiť:
 

Riaditeľ zemegule isto nie je. Ale minimálne nie je total tupelo žijúce v domnienke vlastnej chytrosti ako ty.

1. Zerodium predáva "službu" štátom resp. ich tajným službám. Ten, kto to platí, to neplatí zo svojho.
2. Zerodium si nemôže dovoliť potopiť "službu", ktorú predali 10-20 zákazníkom aby sa pomstil 1.
3. Ktokoľvek zaujímavý pre tajné služby si okamžite update-uje Tor browser
4. Tor browser sa dobrý rok update-uje sám
5. Vzhľadom k bodom 3 a 4, Tor 7.x nepoužíva viacmenej nikto zaujímavý. Zraniteľnosť má teda nulovú hodnotu pre existujúcich zákazníkov

Pre Zerodium je toto evidentne forma reklamy: Aha, my sme to mali. Pokiaľ chcete exploit k 8.x, viete ku komu máte ísť.

Na takýto úsudok stačí IQ>90. Zjavne nie je tvoj prípad.
Odpovedať Hodnotiť:

Pridať komentár