якія карэктуюць выпускі інструментара Tor ( 0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), выкарыстоўванага для арганізацыі працы ананімнай сеткі Tor. У новых версіях ухіленыя дзве ўразлівасці:
- - можа выкарыстоўвацца любым зламыснікам для ініцыявання адмовы ў абслугоўванні рэлеяў. Атака таксама можа быць праведзена з боку сервераў каталогаў Tor для нападу на кліентаў і ўтоеных сэрвісаў. Атакуючы можа стварыць умовы, якія прыводзяць да занадта вялікай нагрузкі на CPU, парушаючай звычайнай працу на некалькі секунд ці хвілін (паўтараючы напад можна расцягнуць DoS на працяглы час). Праблема праяўляецца пачынаючы з выпуску 0.2.1.5-alpha.
- - Выдалена ініцыяваная ўцечка памяці, якая ўзнікае пры падвойным узгадненні дадатковых вочак (circuit padding) для аднаго і таго ж ланцужка.
Таксама можна адзначыць, што ў застаецца невыпраўленай уразлівасць у дадатку , якая дазваляе арганізаваць запуск кода JavaScript у рэжыме абароны "Safest". Для тых, каму забарона на выкананне JavaScript важны, рэкамендуецца на час у about:config цалкам забараніць выкарыстаннем у браўзэры JavaScript праз змену параметра javascript.enabled у about:config.
Недапрацоўку паспрабавалі ўхіліць у , Але як аказалася, прапанаванае выпраўленне цалкам не вырашае праблему. Мяркуючы па зменах у следам выпушчаным рэлізе , праблема таксама не вырашана. У Tor Browser уключана аўтаматычнае абнаўленне NoScript, таму пасля з'яўлення выпраўлення, яно будзе дастаўлена аўтаматычна.
Крыніца: opennet.ru