Новость дня: Microsoft выпустила финальную версию браузера Edge 88

Информацию об уязвимости в Tor продали правительственному заказчику





Компания Zerodium опубликовала описание эксплойта 0-day для одного из ключевых расширений браузера Tor, сообщает Threatpost. Уязвимость позволяет обойти плагин NoScript и выполнять произвольные макросы на открытых в браузере сайтах. Разработчик дополнения уже выпустил апдейт, закрывающий эту уязвимость.

NoScript — это расширение для браузера, которое позволяет пользователю управлять выполнением скриптов Flash, JavaScript, Silverlight или Java на выбранных сайтах. Плагин включен во все дистрибутивы Tor Browser и обеспечивает дополнительный уровень безопасности при просмотре содержимого веб-страниц.

Баг дает возможность злоумышленнику обойти максимальный уровень блокировки, запрещающий запуск любого небезопасного контента. Ошибка не представляет опасности сама по себе, но может стать частью многоступенчатой атаки.

Уязвимость обнаружена только в «классическом» варианте NoScript, работающем на Tor Browser 7.0 и ниже, начиная с релиза 5.0.4. На прошлой неделе разработчики браузера выпустили Tor Browser 8.0, который работает на движке Firefox Quantum, в связи с чем код плагина также был переработан под стандарты нового API. В свежей, 10-й версии NoScript баг отсутствует.

Компания Zerodium занимается покупкой уязвимостей нулевого дня в программном обеспечении и последующей продажей их государственным и частным заказчикам. Как сообщил CEO организации Чаоки Бекрар (Chaouki Bekrar), эксплойт был обнаружен несколько месяцев назад в ходе программы по отлову багов в браузере Tor.

По словам Бекрара, в дальнейшем информация об уязвимости была продана одному из правительственных заказчиков компании.

«Мы решили раскрыть этот эксплойт, поскольку срок его жизни истек с выходом Tor 8. Кроме того, нам бы хотелось обратить внимание на недостаточный уровень аудита безопасности компонентов браузера, используемых по умолчанию», — отметил руководитель Zerodium.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
21.01.2021 11:41

Уязвимость в «Госуслугах Москвы» позволяла менять любые данные в чужом аккаунте

Для самого пользователя такие изменения могли остаться незамеченными, поскольку в системе не предусмотрены уведомления о внесении правок в аккаунте


15.01.2021 16:41

Власти Москвы заказали отслеживание москвичей по MAC-адресам смартфонов

Однако из-за вышедших обновлений Android и iOS закупленные аппаратно-программные комплексы оказались бесполезными


14.01.2021 13:02

TikTok ввел ограничения для подростков

Видеосервис TikTok объявил о введении ряда ограничений для несовершеннолетних пользователей


08.01.2021 11:05

Российского хакера посадили на 12 лет в США

Как заявляли власти США, обвиняемый совершил самую крупную кражу данных клиентов банка в истории страны


06.01.2021 17:27

Пользователь Telegram рассказал, как вычислить местоположение других пользователей

В Telegram отказались выдать награду за найденную уязвимость в рамках программы bug bounty, поскольку уязвимостью ее не сочли


Популярное: Безопасность
07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


21.01.2021 11:41

Уязвимость в «Госуслугах Москвы» позволяла менять любые данные в чужом аккаунте

Для самого пользователя такие изменения могли остаться незамеченными, поскольку в системе не предусмотрены уведомления о внесении правок в аккаунте


29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


15.01.2021 16:41

Власти Москвы заказали отслеживание москвичей по MAC-адресам смартфонов

Однако из-за вышедших обновлений Android и iOS закупленные аппаратно-программные комплексы оказались бесполезными


14.01.2021 13:02

TikTok ввел ограничения для подростков

Видеосервис TikTok объявил о введении ряда ограничений для несовершеннолетних пользователей


» Оставьте первым свой комментарий

Новости /
Безопасность /
Информацию об уязвимости в Tor продали правительственному заказчику
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2021 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика