Tor'i tööriistade parandavad väljalasked (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha) kasutatakse Tor'i anonüümse võrgu töö korraldamiseks. Uutes versioonides on kõrvaldatud kaks haavatavust:
- — võib kasutada iga kurjategija, et algatada teenuse katkestamise rünnakut (DoS) releedega. Rünnakut saab samuti läbi viia Tor'i kataloogiserverite poolt, et rünnata kliente ja varjatud teenuseid. Ründaja võib tekitada tingimusi, mis põhjustavad liiga suurt koormust CPU-le, häirides normaalset toimimist paar sekundit või minutit (korda rünnakut, et pikendada DoS'i pikka aega). Probleem ilmus alates väljalaskest 0.2.1.5-alpha.
- — kaugjuhtimise teel algatatud mäluleke, mis tekib sama ahelaga (circuit padding) seotud lisarakenduste kaks korda kinnitamisel.
Samuti tuleb märkida, et sisaldab endiselt parandamata haavatavust lisandis , mis võimaldab käivitada JavaScript-koodi 'Safest' kaitsmise režiimis. Neile, kelle jaoks JavaScripti täitmine on oluline, soovitatakse ajutiselt keelata JavaScripti kasutamine brauseris, muutes seadet javascript.enabled lehelt about:config.
Puudujääk üritati kõrvaldada versioonis , kuid nagu selgus, ei lahenda pakutud parandus probleemi täielikult. Judides järgnevate muudatuste põhjal välja antud versioonis , probleem ei ole samuti lahendatud. Tor Brauseris on NoScripti automaatne värskendamine sisse lülitatud, seega pärast paranduse ilmumist saadetakse see automaatselt.
Allikas: opennet.ru
