Предупреждение об атаках на Tor Browser с применением неисправленной уязвимости

30.11.2016 10:07

Разработчиками анонимной сети Tor обнаружен вредоносный JavaScript-код, активно используемый для атаки на пользователей Tor Browser. Атака производится через эксплуатацию ещё неисправленной (0-day) уязвимости, позволяющей получить контроль за системой пользователя TorBrowser, в том числе выполнить свой код и осуществить деанонимизацию пользователя.

Уязвимость также присутствует в кодовой базе Firefox и подтверждена разработчиками Mozilla, которые занимаются подготовкой внепланового экстренного обновления. Опубликованный пример эксплоита поражает только системы Windows, но после модификации может быть адаптирован и для атаки на другие ОС. После успешной эксплуатации уязвимости на поражённой системе запускается код, осуществляющий определение реального IP-адреса системы и отправку сведений на внешний сервер.

Эксплоит подходит для атаки на Firefox начиная с выпуска 41 и заканчивая 50, а также на Tor Browser 6, основанный на ESR-ветке Firefox 45. Эксплуатация производится через переполнение кучи, которое проявляется только при обработке JavaScript. Выполняемый после проникновения вредоносный код представляет собой улучшенную версию кода, применявшегося в 2013 году ФБР для раскрытия личностей владельцев крупнейшего хостинга нелегального контента, работающего в форме скрытых сервисов Tor.

До выхода обновления пользователям Tor Browser рекомендуется применить NoScript для временной блокировки выполнения JavaScript на не заслуживающих доверия сайтах. На надёжных сайтах можно ограничиться блокировкой сторонних JavaScript-блоков, загружаемых с внешних источников (реклама, аналитика, счётчики, виджеты социальных сетей и т.п.). Для защиты анонимности следует избегать запуска Tor Browser в основной системе или в окружении, имеющем прямое подключение к сети. В случае взлома браузера, даже при использовании Live-окружения Tails, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать многоуровневые системы, например, дистрибутив Whonix.

Дополнение: Вышел Tor Browser 6.0.7 с устранением уязвимости.

исправить +15 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45588-torbrowser

Ключевые слова: torbrowser, firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (26)

1.1, Аноним (-), 10:14, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Пф, на работу tor-службы и socks5 proxy(не для http) оно не олияет? Тогда пофиг. От от JS надо вообще отказаться, кроме проблем он ничего не создает.

2.8, Нанобот (ok), 13:19, 30/11/2016 [^] [^^] [^^^] [ответить]	+1 +/–
>Пф, на работу tor-службы и socks5 proxy(не для http) оно не олияет? не влияет, уязвимость вообще к tor имеет посредственное отношение

1.2, Аноним (-), 10:24, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
А можно просто не пользоваться firefox

2.5, Аноним (-), 12:45, 30/11/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Можно, но в других браузерах уязвимости тоже случаются.

3.16, Аноним (-), 13:32, 30/11/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Причем они меньше подходят для Тор. Торпроджект хоть ищет дыры и пытается лотать. А так будете один на один с браузером и его производителем.

4.18, Аноним (-), 13:53, 30/11/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Да, благодаря Тору в Фаерфоксе выявляется больше уязвимостей.

2.6, Аноним (-), 13:05, 30/11/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Но firefox ведь единственный браузер на 2016 год.

2.11, Аноним (-), 13:25, 30/11/2016 [^] [^^] [^^^] [ответить]	+/–
Можно, но аналогов то нет.

3.23, Alex (??), 18:21, 30/11/2016 [^] [^^] [^^^] [ответить]	+/–
Что мешает в настройках соединения указать 127.0.0.1:9050, любого приложения, которое может работать с SOCKS5 ?

4.24, Аноним (-), 20:11, 30/11/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Совет как покончить жизнь самоубийством. Вы бы хоть ознакомились с ТВ. Почитали бы про него. И больше не давайте таких советов никому.

2.29, подзалупин (?), 19:39, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
А можно просто не использовать JS

1.3, Аноним (-), 10:29, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А запретить JS лишний раз вообще не вредно. Даже без загрузки кода JS может собрать достаточно конкретное досье. В Tor browser это вроде бы частично починили но JS умеет столько всего что там "возить вам не перевозить!"

2.12, Аноним (-), 13:26, 30/11/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Вообще не понимаю зачем в Tor включать JS.

3.15, Аноним (-), 13:29, 30/11/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Потому что полинтернета - это нехорошо. Хрен чего будешь видеть.

1.7, Адекват (ok), 13:07, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Им кто-то пользуется, в смысле не "один раз в месяц, чтобы на торрент зайти" а так чтобы каждый день, постоянно ?

2.10, Аноним (-), 13:25, 30/11/2016 [^] [^^] [^^^] [ответить]	+3 +/–
Я его и вы закрываю. Смысл? Весь трафик через тор, даже десяток нод поднял на разных VPS.

3.17, Аноним (-), 13:40, 30/11/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> Я его и вы закрываю. Смысл? Весь трафик через тор, даже десяток > нод поднял на разных VPS. Хм. Достойно. Релай же? Экзиты накрывают частенько медным тазом. Там обуз может быть много. Самое безопасное в датацентрах ставить.

4.20, Аноним84701 (ok), 15:40, 30/11/2016 [^] [^^] [^^^] [ответить]

+/–

> Хм. Достойно.
> Релай же? Экзиты накрывают частенько медным тазом.
> Там обуз может быть много.
> Самое безопасное в датацентрах ставить.

Самое безопасное -- организовываться "кружками по интересам", т.е. некоммерческие организации
(Swiss Privacy Foundation, CCC, SaveYourPrivacy и т.д.).
https://www.torservers.net/
=>
https://www.dfri.se/?lang=en
https://www.privacyfoundation.ch/
https://www.zwiebelfreunde.de/
https://effi.org/
...

Эффективнее в соотношении "вложенные средства/результат" и, если что (хотя это, насколько я в курсе, основная причина) – отвечает юридическое лицо, причем -- при нормальной юридической и СМИ поддержке и прочими плюшками таких вот объединений.
Да и просто абузить ноды какой-никакой организации и частного лица -- две большие разницы, тем более когда нет нужды поднимать ноду в Запопинске.

1.9, Большой Брат не пройдет (?), 13:24, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Без Whonix в сеть ни ногой!

2.14, Аноним (-), 13:28, 30/11/2016 [^] [^^] [^^^] [ответить]	+/–
Есть и аналоги. Можно попробовать запихнуть ТВ в песочницу. К концу года, вкладки в ТВ будут в песочницах. Ждемс..

1.13, Аноним (-), 13:27, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ау, надежные сайты! Мы идем к вам..

1.19, Аноним (-), 14:44, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Люди занимаются

"Thanks. I pointed some folks on irc to this mail, and Daniel Veditz (Mozilla Security Team) said "the Firefox team was sent a copy of that this morning. We've found the bug being used and are working on a patch."

So it sounds like the immediate next step is that Mozilla finishes their patch for it; then the step after that is a quick Tor Browser update. And somewhere in there people will look at the bug and see whether they think it really does apply to Tor Browser."

1.25, Аноним (-), 22:45, 30/11/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Вроде починили 6.0.7

1.26, Аноним (-), 09:40, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
JS - зло. И особенно удивляют разрабы, активно пихающие его в примитивные страницы, задача которых - показать пару абзацев текста с картинкой.

1.27, Ващенаглухо (ok), 10:10, 01/12/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Пользуйтесь Tor Browser hardened, уверен эксплоит не сработает.

2.28, Аноним (-), 10:29, 01/12/2016 [^] [^^] [^^^] [ответить]	+/–
Забыли предупредить: Для Линукс х64

игнорирование участников | лог модерирования

Добавить комментарий

Текст: