Tori tööriistakomplekti (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha) korrigeerivad väljalasked, mida kasutatakse anonüümse Tor-võrgu töö korraldamiseks. Uued versioonid parandavad kaks turvaauku:
- - saab kasutada iga ründaja, et algatada releede teenuse keelamine. Rünnaku saavad läbi viia ka Tori kataloogiserverid, et rünnata kliente ja peidetud teenuseid. Ründaja võib luua tingimused, mis toovad kaasa CPU liiga suure koormuse, mis häirib normaalset tööd mitmeks sekundiks või minutiks (rünnet korrates võib DoS-i pikaks ajaks pikendada). Probleem ilmneb alates versioonist 0.2.1.5-alpha.
- — kaugkäivitatud mäluleke, mis tekib siis, kui ahela polsterdus on sama ketti jaoks topeltsobitatud.
Samuti võib märkida, et sisse pistikprogrammi haavatavus jääb parandamata , mis võimaldab käivitada JavaScripti koodi kõige turvalisemas kaitserežiimis. Neile, kelle jaoks JavaScripti käivitamise keelamine on oluline, on soovitatav JavaScripti kasutamine brauseris umbes:config-is ajutiselt keelata, muutes failis about:config parameetrit javascript.enabled.
Nad püüdsid puudust kõrvaldada , kuid nagu selgus, ei lahenda pakutud parandus probleemi täielikult. Otsustades järgmise väljaande muudatuste järgi , ei ole ka probleem lahendatud. Tor-brauser sisaldab automaatseid NoScripti värskendusi, nii et kui parandus on saadaval, tarnitakse see automaatselt.
Allikas: opennet.ru