Распрацоўнікі ананімнай сеткі Tor апублікавалі вынікі аўдыту браўзэра Tor Browser і якія развіваюцца праектам інструментараў OONI Probe, rdsys, BridgeDB і Conjure, ужывальных для абыходу цэнзуравання. Аўдыт праводзіўся кампаніяй Cure53 з лістапада 2022 года па красавік 2023 года.
У ходзе праверкі былі выяўлены 9 уразлівасцей, дзве з якіх аднесены да катэгорыі небяспечных, адной прысвоены сярэдні ўзровень небяспекі, а 6 аднесены да праблем з нязначным узроўнем небяспекі. Таксама ў кодавай базе было знойдзена 10 праблем, аднесеных да катэгорыі не звязаных з бяспекай недапрацовак. У цэлым код праекту Tor адзначаны як які адпавядае практыкам бяспечнага праграмавання.
Першая небяспечная ўразлівасць прысутнічала ў бэкендзе размеркаванай сістэмы rdsys, якая забяспечвае дастаўку цэнзураваным карыстальнікам рэсурсаў, такіх як спісы проксі і спасылкі для загрузкі. Уразлівасць выклікана адсутнасцю аўтэнтыфікацыі пры звароце да апрацоўшчыка рэгістрацыі рэсурсаў і дазваляла атакаваламу зарэгістраваць уласны шкоднасны рэсурс для дастаўкі карыстальнікам. Эксплуатацыя зводзіцца да адпраўкі HTTP-запыту да апрацоўшчыка rdsys.
Другая небяспечная ўразлівасць знойдзена ў Tor Browser і была выклікана адсутнасцю праверкі лічбавага подпісу пры атрыманні спісу маставых вузлоў праз rdsys і BridgeDB. Бо спіс загружаецца ў браўзэр на стадыі да падлучэння да ананімнай сеткі Tor, адсутнасць праверкі па крыптаграфічным лічбавым подпісы дазваляла атакаваламу падмяніць змесціва спісу, напрыклад, праз перахоп злучэння або ўзлом сервера, праз які распаўсюджваецца спіс. У выпадку паспяховай атакі зламыснік мог арганізаваць падключэнне карыстальнікаў праз уласны скампраметаваны маставой вузел.
Уразлівасць сярэдняй небяспекі прысутнічала ў падсістэме rdsys у скрыпце разгортвання зборак і дазваляла атакаваламу падняць свае прывілеі з карыстача nobody да карыстача rdsys, пры наяўнасці доступу да сервера і магчымасці запісу ў каталог з часавымі файламі. Эксплуатацыя ўразлівасці зводзіцца да замены які размяшчаецца ў каталогу /tmp выкананага файла. Атрыманне правоў карыстальніка rdsys дазваляе атакаваламу ўнесці змены ў запускаемыя праз rdsys выкананыя файлы.
Уразлівасці нізкай ступені небяспекі ў асноўным былі злучаны з выкарыстаннем састарэлых залежнасцяў, у якіх прысутнічалі вядомыя ўразлівасці, ці з магчымасцю здзяйснення адмовы ў абслугоўванні. З малаважных уразлівасцяў у Tor Browser адзначаецца магчымасць абыходу забароны выканання JavaScript пры выстаўленні вышэйшага ўзроўня абароны, адсутнасць абмежаванняў па загрузцы файлаў і патэнцыйная ўцечка інфармацыі праз карыстацкую хатнюю старонку, якая дазваляе адсочваць карыстачоў паміж перазапуcкамі.
У наш час усе ўразлівасці ўхіленыя, сярод іншага рэалізаваная аўтэнтыфікацыя для ўсіх апрацоўшчыкаў rdsys і дададзеная праверка загружаных у Tor Browser спісаў па лічбавым подпісе.
Дадаткова можна адзначыць выпуск браўзэра Tor Browser 13.0.1. Выпуск сінхранізаваны з кодавай базай Firefox 115.4.0 ESR, у якой ухілена 19 уразлівасцяў (13 прызнаныя небяспечнымі). У версію Tor Browser 13.0.1 для Android перанесены выпраўленні ўразлівасцяў з галінкі Firefox 119.
Крыніца: opennet.ru