Tor浏览器执行任意JavaScript代码漏洞

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Tor浏览器执行任意JavaScript代码漏洞

Exploit收购公司Zerodium披露了一个NoScript漏洞,即使使用最高安全级别,也可利用该漏洞在Tor浏览器中执行任意JavaScript代码。

Zerodium在周一发布到Twitter上的一条消息中披露了该漏洞,并提供了有关如何将其复制的说明。最近发布的Tor Browser 8不受影响。

虽然推文将此问题描述为Tor浏览器中的漏洞或后门,但该缺陷实际上影响了NoScript,这是一种流行的Firefox扩展,旨在通过允许JavaScript,Java和Flash插件仅在受信任的网站上执行来保护用户免受恶意脚本的侵害。Tor浏览器基于Firefox,默认情况下包含NoScript。

创建NoScript的意大利开发人员Giorgio Maone 在发布5.1.8.7版本的大约两个小时内修补了漏洞。Maone指出,只有NoScript 5的“Classic”分支受到影响。

开发人员解释说,由于“NoScript阻止浏览器内JSON查看器的解决方法”,该错误仍然存​​在。他还指出,该漏洞是在2017年5月随着NoScript 5.0.4的发布而引入的。

通过SecurityWeek联系,Tor项目代表强调,这不是Tor浏览器零日漏洞。

“这是NoScript中的一个错误,而不是Tor浏览器的零日攻击可能会绕过其隐私保护。为了绕过Tor,仍然需要一个真正的浏览器漏洞,“Tor项目解释说。

Zerodium的首席执行官Chaouki Bekrar告诉SecurityWeek,即使Tor浏览器设置为“最安全”的安全级别,该漏洞也基本上绕过了NoScript提供的保护。

“如果用户将其Tor浏览器安全级别设置为'最安全'以阻止来自所有网站的JavaScript(例如,防止浏览器漏洞利用或数据收集),该漏洞将允许网站或隐藏服务绕过所有NoScript限制并执行任何JavaScript尽管使用了最高安全级别的代码,但它完全无效,“Bekrar解释道。

Bekrar说他的公司在几个月之前将这个漏洞作为零日收购,并与政府客户分享。他声称Zerodium已经收购 - 包括作为时间限制的100万美元的 漏洞赏金计划的一部分 - 他称之为“高端的Tor漏洞利用”。该公司的客户据称利用这些漏洞来“打击犯罪和虐待儿童,并制造世界是一个更好,更安全的地方。“

当被问及他是否担心漏洞可能被恶意利用时,Zelodium已经披露了这一漏洞,Bekrar强调Tor Browser的第8版没有受到影响,强烈建议用户升级到最新版本。

CE安全网

发表评论

您必须登录才能发表评论!