Aktualizujcie Tor Browsera – w starszych wersjach jest poważny, trywialny błąd

dodał 10 września 2018 o 21:20 w kategorii Błędy  z tagami:
Aktualizujcie Tor Browsera – w starszych wersjach jest poważny, trywialny błąd

Firma zajmująca się handlem exploitami ujawniła dzisiaj, że w przeglądarce Tor Browser istniał bardzo poważny błąd, umożliwiający ominięcie jej wysokich ustawień bezpieczeństwa i uruchomienie kodu JavaScript mimo obecności wtyczki NoScript.

Tor Browser to domyślna – i w założeniu bezpieczna – przeglądarka korzystająca z sieci Tor. Używają jej nie tylko handlarze narkotyków czy miłośnicy dziecięcej pornografii, ale także opozycjoniści w krajach, w których rząd chce decydować o tym, co ludzie mogą czytać i jakie strony odwiedzać. Anonimowość, w której zachowaniu Tor Browser pomaga, może ratować ludzkie życie w krajach takich jak Chiny czy Iran. Nic więc dziwnego, że narzędzie to jest na celowniku włamywaczy sprzedających swoje narzędzia temu, kto więcej zapłaci.

0-day z Twittera

Błąd w Tor Browserze został dzisiaj opublikowany przez firmę Zerodium, zajmującą się skupowaniem błędów i odsprzedawaniem ich rządom (a przynajmniej tak firma charakteryzuje swoich klientów). Na jej koncie pojawił się taki oto wpis:

Opublikowany błąd umożliwia trywialne ominięcie jednego z najważniejszych mechanizmów bezpieczeństwa Tor Browsera, czyli ustawień wtyczki NoScript, blokującej wykonywanie JavaScriptu. JavaScript nie jest potrzebny na wielu witrynach (szczególnie w sieci Tor), a jednocześnie stanowi stosunkowo łatwiejszy cel ataku. Kilka ujawnionych wcześniej ataków na przeglądarki (w tym także na Tor Browsera) wykorzystywało właśnie błędy w JavaScripcie. Wyłączenie go jest podstawową rekomendacją bezpieczeństwa dla użytkowników Tor Browsera. Jak się jednak okazuje, niewystarczającą.

Jak w wypowiedzi dla serwisu ZDNet skomentował twórca NoScripta, przyczyną błędu była chęć odblokowania możliwości korzystania z wbudowanej przeglądarki plików JSON. Niestety sposób implementacji tego obejścia sprawił, że wystarczyła prosta zmiana nagłówka, by JavaScript wykonywał się bez względu na ustawienia użytkownika i wtyczki NoScript. Ups!

Warto podkreślić, że istnienie błędu nie ujawniało adresu IP użytkowników ani żadnych innych danych bez istnienia drugiego błędu w samym silniku JavaScriptu. Jednak w przypadku posiadania przez kogoś błędu w JavaScripcie, znacząco ułatwiało dokonanie ataku na użytkowników, którzy mieli wysokie ustawienia bezpieczeństwa.

Aktualizujcie Tor Browsera

Jeśli używacie Tor Browsera, to możecie go zaktualizować do wydanej kilka dni temu wersji 8. Ta wersja nie jest podatna na opisywany atak – wtyczka NoScript została w niej całkowicie przepisana od nowa i nie wymagała podobnej ekwilibrystyki, by działać prawidłowo. Dodatkowo twórca NoScripta wypuścił już odpowiednią aktualizację, by usunąć błąd.

Tor Browser bez wątpienia długo pozostanie na celowniku hakerów – to się po prostu opłaca. Obecnie Zerodium płaci 250 tysięcy dolarów za możliwość zdalnego wykonania kodu w systemie, na którym działa Tor Browser z wysokimi ustawieniami bezpieczeństwa, lecz kilka miesięcy temu nagroda wynosiła nawet milion dolarów. To pokazuje, jak wysoką cenę za możliwość przełamania jego zabezpieczeń gotowe są zapłacić rządy niektórych krajów lub inni klienci Zerodium.