The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в NoScript 5.x, позволяющая обойти отключение JavaScript в Tor Browser 7.x

10.09.2018 20:19

Компания Zerodium, скупающая сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser. Уязвимость не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtension.

Как оказалось, NoScript 5.x не блокирует выполнения JavaScript кода в случае загрузки скриптов с некорректным Content-Type, который, тем не менее, воспринимается браузером. В частности, при отдаче страницы с "Content-Type: text/html;/json" код JavaScript будет выполнен даже при включении режима полной блокировки скриптов в NoScript. Уязвимость вызвана исправлением, добавленным весной прошлого года в составе выпуска 5.0.4 для решения проблемы с невозможностью просмотра файлов в формате JSON при отключённом JavaScript.

Разработчики NoScript оперативно выпустили обновление 5.1.8.7 в котором устранили выявленную уязвимость. Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись, для ручной установки обновления XUL-дополнения в старых версиях Firefox в about:config следует деактивировать параметр xpinstall.signatures.required. Проект Tor пока не сформировал обновление ветки Tor Browser 7.x, поддержка которой формально уже прекращена.

  1. Главная ссылка к новости (https://twitter.com/Zerodium/s...)
  2. OpenNews: Zerodium готов выплатить миллион долларов за 0-day уязвимости в Tor Browser
  3. OpenNews: Обновление Tor Browser 6.0.7 и Firefox 50.0.2 с устранением 0-day уязвимости
  4. OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
  5. OpenNews: В Tor Browser 7.0.9 устранена уязвимость, раскрывающая реальный IP-адрес
  6. OpenNews: Новые версии Tor с устранением уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/49251-tor
Ключевые слова: tor, noscript, javascript
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:23, 10/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Проблема присутствует в классической ветке дополнения NoScript 5.x

    Интересно, а до NoScript 5.x дырка была?

     
     
  • 2.7, Аноним (1), 20:45, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, вижу:
    "Уязвимость вызвана исправлением, добавленном весной прошлого года в составе выпуска 5.0.4".
     
  • 2.18, Аноним (-), 23:45, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Как бы новость ниочем. Tor 8 вышел несколько дней назад. Кто не обновился - ССЗБ.
     
     
  • 3.46, pf.team (ok), 03:01, 12/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ССЗБ тот, кто обновляется не глядя во что он обновляется Приглашаю вас сюда ht... большой текст свёрнут, показать
     
  • 2.23, Аноним (23), 00:09, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Интересно, а до NoScript 5.x дырка была?

    Не зря не доверял. Пользовался about:config -> javascript.enabled -> false

     
     
  • 3.47, pf.team (ok), 03:03, 12/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И правильно делали. В 8й версии тоже похожая дырка. Боюсь что мы еще много неприятного узнаем, т.к. ревью кода NoScript на экстеншнах не было. См. мой камент выше.
     

  • 1.2, Аноним (2), 20:25, 10/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Проблема не проявляется ... на WebExtention

    Ну чо, не зря переходили

     
     
  • 2.19, Аноним (-), 23:47, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И правда, а еще новый Tor очень быстро работает, ибо Quantum.
     

  • 1.3, Аноним (-), 20:29, 10/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    >noscript

    зачем оно нужно, когда есть umatrix?

     
     
  • 2.8, Уехавший (?), 21:07, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • –13 +/
    Ага, который ломает 99% всех сайтов. Очень приятно заполнять огромную форму, которая потом тупо никуда невозможно отправить.
     
     
  • 3.20, Аноним (-), 23:47, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Пользуюсь 2 года, ничего не ломает.
     
  • 3.26, Аноним (-), 04:48, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    для всяких нех нужно просто юзать чистый обособленный профиль. Всякие агрегаторы и сторы авиабилетов, или еще какие поделия, и без матрикса часто глючат. Тут уж пинать вебразрабов надо. Им вообще полезно по ушам надавать, что б не городили свистяще-глючащий гуй.
     
     
  • 4.40, нёх (?), 12:22, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ну и вот ты хочешь, чтобы весь мир знал что условный Серега Петров (имя как в паспорте, перепроверьте, пожалуйста, прежде чем нажать "оплата") купил билет НН-Мале, даты вылета, авиакомпания, цена, номер брони(!) и еще массу всего интересного?

    да, именно вот это все сливается даже не агрегаторами, а авиакомпаниями напрямую.

    если ты всем этим уже поделился с окружающими - какой смысл в этом "обособленном профиле"?

     
     
  • 5.43, Аноним (43), 14:21, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы тебе как постоянному клиенту надбавку к стоимости билета не делали. Как постоянному клиенту полагается спец тариф, так как ты и так о нас знаешь поэтому тебе скидок не положено.
     
  • 3.29, anonimbl (?), 06:15, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Пользоваться научитесь, тогда ничего не будет ломаться.
     
  • 3.34, ыы (?), 07:46, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно он действительно что-то блокирует?
     

  • 1.4, Аноним (4), 20:37, 10/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Проблема не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtention.

    Значит ли это, что в новых ветках ещё более серьёзная уязвимость, ради создания панической миграции на новую версию с которой можно и ту раскрыть?

     
     
  • 2.6, A.Stahl (ok), 20:42, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это значит лишь что земляной диск покоится не на восьми слонах, а лишь на 2пи слонах.
     
     
  • 3.41, . (?), 12:23, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "а черепаха - на скотче!"(c)bash
     

  • 1.5, НяшМяш (ok), 20:38, 10/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Красавчики, дождались когда Мозилла запретит старые дополнения обновлять и раскрыли уязвимость.
     
     
  • 2.9, AnonPlus (?), 21:12, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пользователям TB всё равно уже обновление до 8.0 прилетело, а эта версия поддерживает WebExt. Ну а если пользователь беспокоится о своей анонимности, но сидит на неподдерживаемом браузере... это не очень умный пользователь.
     
     
  • 3.11, Аноним (4), 21:51, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    новый - не значит "лучший". Новый в данном случае - "с новыми зондами".
     
     
  • 4.14, Аноним (-), 23:01, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно обновить накрайняк NoScript в ТВ 7
    ибо 8 версия тяжелая для старых машин
     
     
  • 5.45, Аноним (4), 21:41, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да не тяжёлая она. Просто е10s надо отключить. Единственная проблема - хрюшу дропнули.
     
     
  • 6.50, Аноним (-), 19:01, 13/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что это?
     
  • 6.51, Аноним (-), 19:10, 13/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мультипроцессность? При отключении какие последствия?
     
  • 3.32, Аноним (32), 07:06, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И расскажи мне, о добрый человек, и как сие новое безобразие запустить на архитектуре, для которой RUSTC запилить заб(ы|и)ли?
     
  • 3.48, pf.team (ok), 03:14, 12/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Наивный. Смотрите сюда: https://www.opennet.dev/opennews/art.shtml?num=49251#46
     
  • 2.10, пох (?), 21:14, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    те, кто позволили мурзиле себе что-то там разрешать или запрещать - должны же страдать?

     
     
  • 3.12, Аноним (12), 22:28, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Никто никому ничего не должен.
    Чем вы раньше это поймёте, тем лучше будете жить.
     
     
  • 4.17, Michael Shigorin (ok), 23:27, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Никто никому ничего не должен.
    > Чем вы раньше это поймёте, тем лучше будете жить.

    В жизни есть одна интересная точка, тем не менее...

     

  • 1.13, Аноним (13), 22:31, 10/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    https://onpon4.github.io/articles/kill-js.html
     
     
  • 2.15, Аноним (-), 23:02, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что это??
     
     
  • 3.16, Аноним (16), 23:06, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да не обращай внимания: чувак ошибочно думает, что если полностью отказаться от JavaScript, то проблемы исчезнут. Мое мнение таково: чтобы все проблемы исчезли, нужно провести геноцид всего человечества.
     
     
  • 4.22, Майор (??), 23:50, 10/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Призываете? А это 282, дорогой товарищ...
     
     
  • 5.27, Аноним (-), 04:50, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а ты майор МВД или военный майор?
     
     
  • 6.49, Аноним (-), 18:56, 13/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Описка. Он хотел написать "Мажор"
     

  • 1.24, Kuromi (ok), 01:49, 11/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    "Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись**, для ручной установки обновления XUL-дополнения в старых версиях Firefox в about:config следует деактивировать параметр xpinstall.signatures.required."

    Восхитительно. Вот так и бьют по голове DRM-подобные примочки "Огороженных садов"- разработчик и рад, что редкость, пропатчить старое дополнение, но "официально" он сделать это уже не может так как Мозилла считает, что она знает лучше за него, за вас и вообще за всех.

    Что же до бага...ну, зато WebExt версия любит периодически сходить с ума и блокировать вообще все, включая разрешенное...

     
     
  • 2.53, Аноним (53), 13:00, 23/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >"Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись

    Автор новости преувеличил: Mozilla прекратила приём обновлений для старых дополнений в каталог AMO только для Firefox, но есть хак, позволяющий обойти ограничение — нужно в список поддерживаемых дополнением приложений добавить левое поддерживаемое (например, SeaMonkey) и всё заработает. Вот пример дополнения (за май 2018 года, после первых отключений): https://web.archive.org/web/20180923095116/https://addons.mozilla.org/ru/firef .

     

  • 1.28, Аноним (28), 06:07, 11/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    about:config -> disable js
     
  • 1.30, anonimbl (?), 06:16, 11/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Umatrix.
     
  • 1.35, Аноним (35), 09:07, 11/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А зачем СКУПАТЬ сведения о выявленных уязвимостях?..
     
     
  • 2.37, koblin (ok), 12:11, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    чтобы потом продавать, очевидно же
     

  • 1.36, СеменСеменыч777 (?), 12:02, 11/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что если делать аддоны в виде патчей к исходникам фаерфокса ?

     
     
  • 2.42, Planc (?), 14:20, 11/09/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это вам к https://suckless.org
     

  • 1.52, Аноним (-), 20:39, 13/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как заставить сабж по умолчанию блокировать скипты?
    Изменения во вкладке default не сохраняются.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру