LINUX.ORG.RU

В Tor Browser (и Firefox) обнаружена 0-day уязвимость

 , , ,


1

2

Обнаружен JavaScript-эксплоит для Tor Browser (клиента анонимной сети Tor), использующий 0-day уязвимость. После выполнения скрипта может быть выполнен произвольный код в системе пользователя. Готовый эксплоит работает в Windows, но может быть модифицирован для работы в других системах.

Компания Mozilla подтвердила наличие уязвимости в коде Firefox.

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия. Также для снижения рисков вредоносного влияния эксплоита можно использовать дистрибутив Whonix.

>>> Подробности

★★★★

Проверено: Shaman007 ()

Я, как админ локалхоста могу утверждать думаю, что мой линакс нихто не взломает это как-то странно, что публикуют сведения о 0-day без упоминания, что заплатки уже прилетели с последними обновлениями. Я просто про то, что windows дырявое решето обычно такие сведения до появления заплаток перетираются на закрытых форумах разработчиков, или в даркнете с ценником в биткоинах. Заплаток точно не было? Хотя какая мне раздница, мой линакс не победим

Promusik ★★★ ()

Реклама Whonix детектед!

anonymous ()

Всегда утверждал, что жава - зло...

Pronin ★★★★ ()

ТЕШЕРО! И да это выглядит как использование оставленного backdoor'а.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)

Кто-то ещё пользуется интернетом со включенным JavaScript? ССЗБ.

Legioner ★★★★★ ()

Итак:

  1. Уязвимость в Firefox, а не только в TorBrowser
  2. Включать скрипты в TorBrowser — ССЗБ
  3. Говнопиар Whonix.
mandala ★★★ ()

После выполнения скрипта может быть выполнен произвольный код в системе пользователя.

Это как же шикарно можно было бы троллить неуловимых анонимусов... Даже жаль, что починят.

WARNING ★★★★ ()

Whonix

А без него в Tor и не ходим. Есть такие кто ходит?

anonymous ()

А я как раз на тор-браузере сижу... ЛОР, что делать?

Venediktov ()
Ответ на: комментарий от mandala

Говнопиар Whonix

А чего к нему такое негативное отношение? Вполне серьёзно спрашиваю, может пропустил что-то важное о них. Вроде обычный Debian обмазанный Tor'ом.

fludardes ★★ ()
Ответ на: комментарий от Legioner

Кто-то ещё пользуется интернетом со включенным JavaScript? ССЗБ.

Ты еще предложи линксом пользоваться.

mandala ★★★ ()
Ответ на: комментарий от fludardes

Потому что совет сам по себе дурацкий, как на «полшишечки» и придуман только для того, чтобы упомянуть этот «защищенный анонимный» дистрибутив.

mandala ★★★ ()
Ответ на: комментарий от anonymous

Для полной безопасности предлагаю не обмазываться какими-то дистрибутивами, а действовать радикально: просто обесточить всю вычислительную технику в доме, а еще лучше полностью обесточить жилище.

mandala ★★★ ()
Ответ на: комментарий от Promusik

как-то странно, что публикуют сведения о 0-day без упоминания, что заплатки уже прилетели с последними обновлениями.

Это потому что эксплойт уже гуляет по сети. Нет смысла скрывать его от злоумышленников, они о нём уже знают.

i-rinat ★★★★★ ()
Ответ на: комментарий от fludardes

Откуда негативное отношение не знаю, а дистрибутив достаточно интересный. https://ru.wikipedia.org/wiki/Whonix

Система Whonix состоит из двух виртуальных машин, соединенных через изолированную сеть. Первая, называемая Whonix-Gateway, работает исключительно через Tor[13] и выступает в качестве шлюза во всемирную сеть. Вторая, под названием Whonix-Workstation находится в полностью изолированной сети. Таким образом, все сетевые соединения возможны только через Tor.[14] Подобная реализация возможна как за счет виртуализации[15], так и физической изоляции.[16]

Хотя в современных реалиях могли-бы на контейнерах вместо виртуалок сделать...наверное.

log4tmp ★★★★ ()
Ответ на: комментарий от log4tmp

Я контейнерами не умею пользоваться, только виртуалками. Из друзей тоже никто не пользовался контейнерами, а виртуалки многие юзают.

anonymous ()
Ответ на: комментарий от log4tmp

Полноценная VM, вероятно, более безопасное и универсальное решение. К примеру, в том же Arch Linux нет user namespaces по-дефолту, и LXC-контейнеры стартуются привилегированными (копирую вики - сам не особо соображаю, как оно работает и почему так, а не иначе). А QEMU/KVM везде, а VirtualBox даже на Windows.

fludardes ★★ ()
Последнее исправление: fludardes (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ну так там все уже за тебя настроено, запустил и используй. будь оно на контейнерах ты как пользователь разницы-бы не заметил.

log4tmp ★★★★ ()

FireFox подвержен этой уязвимости? Если нет то почему? Если да то почему новость про Tor Browser?

MrClon ★★★★★ ()

0day пишется не через дефис. исправьте пожалуйста.

anonymous ()

Выхожу из Tor Browser только в социалочки, и не захожу ни на какие нелегальные сайты. Поэтому мне нечего бояться :-)

Проектам Mozilla и Tor следует объединиться.

ZenitharChampion ★★★★★ ()

для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия.

Вообще плохой совет, поскольку неоднократно бывали случаи взлома «сайтов заслуживающих доверие» нужно тогда уж везде блокировать.

RiseOfDeath ★★★ ()

джаваскрипта бояться - в интернет не ходить

af5 ★★★★ ()

Простите, а что делает включенный жабоскрипт в торобраузере

upcFrost ★★★★★ ()
Ответ на: комментарий от ZenitharChampion

Tor + торренты тоже хорошо идет, под whonix'ом естесно.

Еще Tor юзает моя сестра, которая работает репортером. Не просто репортером, благодаря ей пара паскудных чинушей теперь мотают реальный срок. Если бы не Tor, наш мир был бы чуточку печальнее. АНБ или не АНБ его создал, но Tor работает и позволяет делать этот мир лучше, добрее и справедливее.

anonymous ()
Ответ на: комментарий от anonymous

Журналист* извиняюсь, все время путаю.

anonymous ()

это новая уязвимость после вчерашнего обновления 50.0.1 ?

anonymous ()
Ответ на: комментарий от anonymous

Погугли что такое 0day. Hint: нет, не после вчерашнего обновления.

feofan ★★★★★ ()
Ответ на: комментарий от anonymous

Видимо это закладка чисто в Торе, т.к. он не подвержен вчерашней уязвимость потому что на ESR она не распространялась.

anonymous ()
Ответ на: комментарий от mandala

Ты еще предложи линксом пользоваться.

Использовать лучше Firefox или Chromium. Но отключать весь ненужный мусор.

Legioner ★★★★★ ()
Ответ на: комментарий от anonymous

У меня Тор + Торренты идут плохо. Как настраивал. Клиент: Vuze. Так как там - своя реализация DHT, то надо установить плагин Mainline DHT. Тогда Vuze сможет соединяться с uTorrent и прочими. Но этот плагин работает напрямую, так что вся анонимность помножается на ноль. Роскомнадзор сразу узнает, что у меня много вареза и пиратской музыки.

ZenitharChampion ★★★★★ ()
Ответ на: комментарий от anonymous_incognito

Некоторые сайты девственно чистые без жабаскрипта.

mandala ★★★ ()

SeaMonkey касается? Хотя моя морская обезьяна ниппабидимма!

awesomebuntu ()
Ответ на: комментарий от awesomebuntu

Нет, оно на тухлой версии, а даже актуальный ESR не подвержен уязвимости.

mandala ★★★ ()

Тормозфокс в очередной раз sosnool у хромобога.

svr4 ()
Последнее исправление: svr4 (всего исправлений: 1)
Ответ на: комментарий от fludardes

А чего к нему такое негативное отношение?

Просто очередной клоун из серии «Kali Linux — для школьников».

jollheef ★★★★☆ ()
Ответ на: комментарий от awesomebuntu

Я сейчас сижу на ноуте с 2.5 гигами памяти и шиндовс 10. Почему-то хромог с 50 вкладками не тормозит и не свопится, чего нельзя сказать про жЫрного неполярного растворителя разуплотнителя памятилиса.

svr4 ()

Эт че, жирнолис еще и дырявый? Никогда не понимал мазохистов им пользующихся.

ritsufag ★★★★★ ()
Ответ на: комментарий от svr4

Потому что ты — лох. Лохами не становятся, лохами рождаются.

man seamonkey.

шиндовс 10

Вот причина, вот беда.

awesomebuntu ()

Кстате, смысл использовать в качестве основы для Tor браузера фурифокс?

Не секурно же.

fornlr ★★★★★ ()
Ответ на: комментарий от awesomebuntu

Да-да, трамвай из хлебалинукс на десктопе это круто, а макось и винда это ваще фууу.

svr4 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.