ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → Tor浏览器执行任意JavaScript代码漏洞

Tor浏览器执行任意JavaScript代码漏洞

时间:2018-09-12 00:00:00人气:作者:本站作者我要评论

Tor浏览器执行任意JavaScript代码漏洞

Exploit收购公司Zerodium披露了一个NoScript漏洞,即使使用最高安全级别,也可利用该漏洞在Tor浏览器中执行任意JavaScript代码。

Zerodium在周一发布到Twitter上的一条消息中披露了该漏洞,并提供了有关如何将其复制的说明。最近发布的Tor Browser 8不受影响。

虽然推文将此问题描述为Tor浏览器中的漏洞或后门,但该缺陷实际上影响了NoScript,这是一种流行的Firefox扩展,旨在通过允许JavaScript,Java和Flash插件仅在受信任的网站上执行来保护用户免受恶意脚本的侵害。Tor浏览器基于Firefox,默认情况下包含NoScript。

创建NoScript的意大利开发人员Giorgio Maone 在发布5.1.8.7版本的大约两个小时内修补了漏洞。Maone指出,只有NoScript 5的“Classic”分支受到影响。

开发人员解释说,由于“NoScript阻止浏览器内JSON查看器的解决方法”,该错误仍然存​​在。他还指出,该漏洞是在2017年5月随着NoScript 5.0.4的发布而引入的。

通过SecurityWeek联系,Tor项目代表强调,这不是Tor浏览器零日漏洞。

“这是NoScript中的一个错误,而不是Tor浏览器的零日攻击可能会绕过其隐私保护。为了绕过Tor,仍然需要一个真正的浏览器漏洞,“Tor项目解释说。

Zerodium的首席执行官Chaouki Bekrar告诉SecurityWeek,即使Tor浏览器设置为“最安全”的安全级别,该漏洞也基本上绕过了NoScript提供的保护。

“如果用户将其Tor浏览器安全级别设置为'最安全'以阻止来自所有网站的JavaScript(例如,防止浏览器漏洞利用或数据收集),该漏洞将允许网站或隐藏服务绕过所有NoScript限制并执行任何JavaScript尽管使用了最高安全级别的代码,但它完全无效,“Bekrar解释道。

Bekrar说他的公司在几个月之前将这个漏洞作为零日收购,并与政府客户分享。他声称Zerodium已经收购 - 包括作为时间限制的100万美元的 漏洞赏金计划的一部分 - 他称之为“高端的Tor漏洞利用”。该公司的客户据称利用这些漏洞来“打击犯罪和虐待儿童,并制造世界是一个更好,更安全的地方。“

当被问及他是否担心漏洞可能被恶意利用时,Zelodium已经披露了这一漏洞,Bekrar强调Tor Browser的第8版没有受到影响,强烈建议用户升级到最新版本。

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网