Die ontwikkelaars van die anonieme Tor-netwerk het die resultate gepubliseer van 'n oudit van die Tor Browser en die OONI Probe, rdsys, BridgeDB en Conjure-nutsgoed wat deur die projek ontwikkel is, wat gebruik word om sensuur te omseil. Die oudit is van November 53 tot April 2022 deur Cure2023 uitgevoer.
Tydens die oudit is 9 kwesbaarhede geïdentifiseer, waarvan twee as gevaarlik geklassifiseer is, een is 'n medium vlak van gevaar toegeken, en 6 is geklassifiseer as probleme met 'n geringe gevaarvlak. Ook in die kodebasis is 10 probleme gevind wat as nie-sekuriteitsverwante foute geklassifiseer is. Oor die algemeen word opgemerk dat die Tor-projek se kode voldoen aan veilige programmeringspraktyke.
Die eerste gevaarlike kwesbaarheid was teenwoordig in die agterkant van die rdsys-verspreide stelsel, wat die aflewering van hulpbronne soos volmaglyste en aflaaiskakels aan gesensorde gebruikers verseker. Die kwesbaarheid word veroorsaak deur 'n gebrek aan verifikasie wanneer toegang tot die hulpbronregistrasiehanteerder verkry word en het 'n aanvaller toegelaat om hul eie kwaadwillige hulpbron vir aflewering aan gebruikers te registreer. Operasie kom daarop neer om 'n HTTP-versoek na die rdsys-hanteerder te stuur.
Die tweede gevaarlike kwesbaarheid is in Tor-blaaier gevind en is veroorsaak deur 'n gebrek aan digitale handtekeningverifikasie wanneer 'n lys brugnodusse via rdsys en BridgeDB opgehaal word. Aangesien die lys in die blaaier gelaai word op die stadium voordat dit aan die anonieme Tor-netwerk gekoppel word, het die gebrek aan verifikasie van die kriptografiese digitale handtekening 'n aanvaller toegelaat om die inhoud van die lys te vervang, byvoorbeeld deur die verbinding te onderskep of die bediener te hack. waardeur die lys versprei word. In die geval van 'n suksesvolle aanval, kan die aanvaller reël dat gebruikers deur hul eie gekompromitteerde brugnodus kan koppel.
'n Kwesbaarheid van medium-erns was teenwoordig in die rdsys-substelsel in die samestelling-ontplooiingskrip en het 'n aanvaller toegelaat om sy voorregte van die niemand-gebruiker na die rdsys-gebruiker te verhef, as hy toegang tot die bediener en die vermoë gehad het om na die gids te skryf met tydelike lêers. Die uitbuiting van die kwesbaarheid behels die vervanging van die uitvoerbare lêer wat in die /tmp-gids geleë is. Die verkryging van rdsys-gebruikersregte laat 'n aanvaller toe om veranderinge aan te bring aan uitvoerbare lêers wat deur rdsys geloods word.
Lae-erns kwesbaarhede was hoofsaaklik te wyte aan die gebruik van verouderde afhanklikhede wat bekende kwesbaarhede of die potensiaal vir ontkenning van diens bevat. Geringe kwesbaarhede in Tor Browser sluit in die vermoë om JavaScript te omseil wanneer die sekuriteitsvlak op die hoogste vlak gestel is, die gebrek aan beperkings op lêeraflaaie, en die moontlike lek van inligting deur die gebruiker se tuisblad, sodat gebruikers nagespoor kan word tussen herbeginsels.
Tans is alle kwesbaarhede reggestel; onder andere, verifikasie is geïmplementeer vir alle rdsys-hanteerders en kontrolering van lyste wat in die Tor-blaaier gelaai is deur digitale handtekening is bygevoeg.
Daarbenewens kan ons kennis neem van die vrystelling van die Tor Browser 13.0.1. Die vrystelling is gesinchroniseer met die Firefox 115.4.0 ESR-kodebasis, wat 19 kwesbaarhede regstel (13 word as gevaarlik beskou). Kwesbaarheidoplossings vanaf Firefox-tak 13.0.1 is oorgedra na Tor Browser 119 vir Android.
Bron: opennet.ru