Versiones correctivas del kit de herramientas Tor (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), utilizadas para organizar el trabajo de la red Tor anónima. Las nuevas versiones corrigen dos vulnerabilidades:
- - puede ser utilizado por cualquier atacante para iniciar una denegación de servicio a los relés. El ataque también puede realizarse mediante servidores de directorio Tor para atacar clientes y servicios ocultos. Un atacante puede crear condiciones que provoquen una carga excesiva en la CPU, interrumpiendo el funcionamiento normal durante varios segundos o minutos (al repetir el ataque, el DoS puede prolongarse durante mucho tiempo). El problema aparece desde la versión 0.2.1.5-alpha.
- — una pérdida de memoria iniciada de forma remota que se produce cuando el relleno del circuito coincide dos veces para la misma cadena.
También se puede observar que en la vulnerabilidad en el complemento permanece sin solucionarse , que le permite ejecutar código JavaScript en el modo de protección más seguro. Para aquellos para quienes es importante prohibir la ejecución de JavaScript, se recomienda deshabilitar temporalmente el uso de JavaScript en el navegador en about:config cambiando el parámetro javascript.enabled en about:config.
Intentaron eliminar el defecto en , pero resultó que la solución propuesta no resuelve completamente el problema. A juzgar por los cambios en la próxima versión lanzada. , el problema tampoco se resuelve. Tor Browser incluye actualizaciones automáticas de NoScript, por lo que una vez que haya una solución disponible, se entregará automáticamente.
Fuente: opennet.ru