Всё о Windows 10
Windows 8
Windows 7
Новости Windows
Новости НеWindows
Безопасность
Программы
Вокруг софта
Мобильная жизнь
Игры
Интернет
Железо
Наука и техника
Бизнес
Колонка редактора
Не про софт
Программы
Игры
Блоги
Форум
Информацию об уязвимости в Tor продали правительственному заказчику
Компания Zerodium опубликовала описание эксплойта 0-day для одного из ключевых расширений браузера Tor, сообщает Threatpost. Уязвимость позволяет обойти плагин NoScript и выполнять произвольные макросы на открытых в браузере сайтах. Разработчик дополнения уже выпустил апдейт, закрывающий эту уязвимость. NoScript — это расширение для браузера, которое позволяет пользователю управлять выполнением скриптов Flash, JavaScript, Silverlight или Java на выбранных сайтах. Плагин включен во все дистрибутивы Tor Browser и обеспечивает дополнительный уровень безопасности при просмотре содержимого веб-страниц. Баг дает возможность злоумышленнику обойти максимальный уровень блокировки, запрещающий запуск любого небезопасного контента. Ошибка не представляет опасности сама по себе, но может стать частью многоступенчатой атаки. Уязвимость обнаружена только в «классическом» варианте NoScript, работающем на Tor Browser 7.0 и ниже, начиная с релиза 5.0.4. На прошлой неделе разработчики браузера выпустили Tor Browser 8.0, который работает на движке Firefox Quantum, в связи с чем код плагина также был переработан под стандарты нового API. В свежей, 10-й версии NoScript баг отсутствует. Компания Zerodium занимается покупкой уязвимостей нулевого дня в программном обеспечении и последующей продажей их государственным и частным заказчикам. Как сообщил CEO организации Чаоки Бекрар (Chaouki Bekrar), эксплойт был обнаружен несколько месяцев назад в ходе программы по отлову багов в браузере Tor. По словам Бекрара, в дальнейшем информация об уязвимости была продана одному из правительственных заказчиков компании. «Мы решили раскрыть этот эксплойт, поскольку срок его жизни истек с выходом Tor 8. Кроме того, нам бы хотелось обратить внимание на недостаточный уровень аудита безопасности компонентов браузера, используемых по умолчанию», — отметил руководитель Zerodium.
|
|
Топ-сегодня: Безопасность
Зловред показал россиянам и украинцам 1 млрд рекламных объявлений Новый зловред атакует Google Chrome, Mozilla Firefox и Яндекс.Браузер, работающие на ПК с Windows Мошенники распространяют фальшивые версии FaceApp На волне возросшего интереса к FaceApp злоумышленники воспользовались ситуацией и начали распространять поддельные версии FaceApp Pro Как удалить данные без возможности восстановления Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить Роскачество назвало лучшие антивирусы для Windows и macOS Роскачество провело исследование антивирусных программ, испытав 35 продуктов 19 производителей, включая как платные, так и бесплатные версии Роскачество объяснило, как распознать телефонных мошенников
Телефонное мошенничество является одним из самых массовых цифровых преступлений |
Новые статьи: Безопасность
Зловред показал россиянам и украинцам 1 млрд рекламных объявлений Новый зловред атакует Google Chrome, Mozilla Firefox и Яндекс.Браузер, работающие на ПК с Windows Мошенники распространяют фальшивые версии FaceApp На волне возросшего интереса к FaceApp злоумышленники воспользовались ситуацией и начали распространять поддельные версии FaceApp Pro Роскачество назвало лучшие антивирусы для Windows и macOS Роскачество провело исследование антивирусных программ, испытав 35 продуктов 19 производителей, включая как платные, так и бесплатные версии Роскачество объяснило, как распознать телефонных мошенников Телефонное мошенничество является одним из самых массовых цифровых преступлений Google признала утечку записей голосовых команд пользователей
Один из специалистов Google нарушил правила безопасности, из-за чего записи голосов пользователей попали в открытый доступ |