LINUX.ORG.RU

В Tor Browser (и Firefox) обнаружена 0-day уязвимость

 , , ,


1

2

Обнаружен JavaScript-эксплоит для Tor Browser (клиента анонимной сети Tor), использующий 0-day уязвимость. После выполнения скрипта может быть выполнен произвольный код в системе пользователя. Готовый эксплоит работает в Windows, но может быть модифицирован для работы в других системах.

Компания Mozilla подтвердила наличие уязвимости в коде Firefox.

До того как уязвимость будет исправлена, для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия. Также для снижения рисков вредоносного влияния эксплоита можно использовать дистрибутив Whonix.

>>> Подробности

Deleted

Проверено: Shaman007 ()
Последнее исправление: sudopacman (всего исправлений: 6)

Я, как админ локалхоста могу утверждать думаю, что мой линакс нихто не взломает это как-то странно, что публикуют сведения о 0-day без упоминания, что заплатки уже прилетели с последними обновлениями. Я просто про то, что windows дырявое решето обычно такие сведения до появления заплаток перетираются на закрытых форумах разработчиков, или в даркнете с ценником в биткоинах. Заплаток точно не было? Хотя какая мне раздница, мой линакс не победим

Promusik ★★★★★
()

Реклама Whonix детектед!

anonymous
()
Ответ на: комментарий от Pronin

жава - зло...

Эм...javascript-жеж. Но да - зло.

Deleted
()

ТЕШЕРО! И да это выглядит как использование оставленного backdoor'а.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)

Итак:

  1. Уязвимость в Firefox, а не только в TorBrowser
  2. Включать скрипты в TorBrowser — ССЗБ
  3. Говнопиар Whonix.
mandala ★★★★★
()

После выполнения скрипта может быть выполнен произвольный код в системе пользователя.

Это как же шикарно можно было бы троллить неуловимых анонимусов... Даже жаль, что починят.

WARNING ★★★★
()

Whonix

А без него в Tor и не ходим. Есть такие кто ходит?

anonymous
()
Ответ на: комментарий от mandala

Говнопиар Whonix

А чего к нему такое негативное отношение? Вполне серьёзно спрашиваю, может пропустил что-то важное о них. Вроде обычный Debian обмазанный Tor'ом.

fludardes ★★
()
Ответ на: комментарий от fludardes

Потому что совет сам по себе дурацкий, как на «полшишечки» и придуман только для того, чтобы упомянуть этот «защищенный анонимный» дистрибутив.

mandala ★★★★★
()
Ответ на: комментарий от anonymous

Для полной безопасности предлагаю не обмазываться какими-то дистрибутивами, а действовать радикально: просто обесточить всю вычислительную технику в доме, а еще лучше полностью обесточить жилище.

mandala ★★★★★
()
Ответ на: комментарий от Promusik

как-то странно, что публикуют сведения о 0-day без упоминания, что заплатки уже прилетели с последними обновлениями.

Это потому что эксплойт уже гуляет по сети. Нет смысла скрывать его от злоумышленников, они о нём уже знают.

i-rinat ★★★★★
()
Ответ на: комментарий от fludardes

Откуда негативное отношение не знаю, а дистрибутив достаточно интересный. https://ru.wikipedia.org/wiki/Whonix

Система Whonix состоит из двух виртуальных машин, соединенных через изолированную сеть. Первая, называемая Whonix-Gateway, работает исключительно через Tor[13] и выступает в качестве шлюза во всемирную сеть. Вторая, под названием Whonix-Workstation находится в полностью изолированной сети. Таким образом, все сетевые соединения возможны только через Tor.[14] Подобная реализация возможна как за счет виртуализации[15], так и физической изоляции.[16]

Хотя в современных реалиях могли-бы на контейнерах вместо виртуалок сделать...наверное.

Deleted
()
Ответ на: комментарий от Deleted

Я контейнерами не умею пользоваться, только виртуалками. Из друзей тоже никто не пользовался контейнерами, а виртуалки многие юзают.

anonymous
()
Ответ на: комментарий от Deleted

Полноценная VM, вероятно, более безопасное и универсальное решение. К примеру, в том же Arch Linux нет user namespaces по-дефолту, и LXC-контейнеры стартуются привилегированными (копирую вики - сам не особо соображаю, как оно работает и почему так, а не иначе). А QEMU/KVM везде, а VirtualBox даже на Windows.

fludardes ★★
()
Последнее исправление: fludardes (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ну так там все уже за тебя настроено, запустил и используй. будь оно на контейнерах ты как пользователь разницы-бы не заметил.

Deleted
()

FireFox подвержен этой уязвимости? Если нет то почему? Если да то почему новость про Tor Browser?

MrClon ★★★★★
()

0day пишется не через дефис. исправьте пожалуйста.

anonymous
()

Выхожу из Tor Browser только в социалочки, и не захожу ни на какие нелегальные сайты. Поэтому мне нечего бояться :-)

Проектам Mozilla и Tor следует объединиться.

ZenitharChampion ★★★★★
()

для защиты от вредоносного кода рекомендуется блокировать JavaScript на сайтах, не заслуживающих доверия.

Вообще плохой совет, поскольку неоднократно бывали случаи взлома «сайтов заслуживающих доверие» нужно тогда уж везде блокировать.

RiseOfDeath ★★★★
()

джаваскрипта бояться - в интернет не ходить

af5 ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Tor + торренты тоже хорошо идет, под whonix'ом естесно.

Еще Tor юзает моя сестра, которая работает репортером. Не просто репортером, благодаря ей пара паскудных чинушей теперь мотают реальный срок. Если бы не Tor, наш мир был бы чуточку печальнее. АНБ или не АНБ его создал, но Tor работает и позволяет делать этот мир лучше, добрее и справедливее.

anonymous
()
Ответ на: комментарий от anonymous

Журналист* извиняюсь, все время путаю.

anonymous
()
Ответ на: комментарий от anonymous

Погугли что такое 0day. Hint: нет, не после вчерашнего обновления.

feofan ★★★★★
()
Ответ на: комментарий от anonymous

Видимо это закладка чисто в Торе, т.к. он не подвержен вчерашней уязвимость потому что на ESR она не распространялась.

anonymous
()
Ответ на: комментарий от mandala

Ты еще предложи линксом пользоваться.

Использовать лучше Firefox или Chromium. Но отключать весь ненужный мусор.

Legioner ★★★★★
()
Ответ на: комментарий от anonymous

У меня Тор + Торренты идут плохо. Как настраивал. Клиент: Vuze. Так как там - своя реализация DHT, то надо установить плагин Mainline DHT. Тогда Vuze сможет соединяться с uTorrent и прочими. Но этот плагин работает напрямую, так что вся анонимность помножается на ноль. Роскомнадзор сразу узнает, что у меня много вареза и пиратской музыки.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Некоторые сайты девственно чистые без жабаскрипта.

mandala ★★★★★
()
Ответ на: комментарий от awesomebuntu

Нет, оно на тухлой версии, а даже актуальный ESR не подвержен уязвимости.

mandala ★★★★★
()
Ответ на: комментарий от fludardes

А чего к нему такое негативное отношение?

Просто очередной клоун из серии «Kali Linux — для школьников».

Deleted
()
Ответ на: комментарий от awesomebuntu

Я сейчас сижу на ноуте с 2.5 гигами памяти и шиндовс 10. Почему-то хромог с 50 вкладками не тормозит и не свопится, чего нельзя сказать про жЫрного неполярного растворителя разуплотнителя памятилиса.

svr4
()

Кстате, смысл использовать в качестве основы для Tor браузера фурифокс?

Не секурно же.

fornlr ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.