Les développeurs du réseau anonyme Tor ont publié les résultats d'un audit du navigateur Tor et des outils OONI Probe, rdsys, BridgeDB et Conjure développés par le projet, utilisés pour contourner la censure. L'audit a été réalisé par Cure53 de novembre 2022 à avril 2023.
Au cours de l'audit, 9 vulnérabilités ont été identifiées, dont deux ont été classées comme dangereuses, une a été classée comme niveau de danger moyen et 6 ont été classées comme problèmes avec un niveau de danger mineur. Également dans la base de code, 10 problèmes ont été trouvés, classés comme des failles non liées à la sécurité. En général, le code du projet Tor est réputé conforme aux pratiques de programmation sécurisées.
La première vulnérabilité dangereuse était présente dans le backend du système distribué rdsys, qui assure la fourniture de ressources telles que des listes de proxy et des liens de téléchargement aux utilisateurs censurés. La vulnérabilité est causée par un manque d'authentification lors de l'accès au gestionnaire d'enregistrement des ressources et a permis à un attaquant d'enregistrer sa propre ressource malveillante pour la transmettre aux utilisateurs. L'opération se résume à l'envoi d'une requête HTTP au gestionnaire rdsys.
La deuxième vulnérabilité dangereuse a été trouvée dans le navigateur Tor et était causée par un manque de vérification de signature numérique lors de la récupération d'une liste de nœuds de pont via rdsys et BridgeDB. La liste étant chargée dans le navigateur avant la connexion au réseau anonyme Tor, l'absence de vérification de la signature numérique cryptographique a permis à un attaquant de remplacer le contenu de la liste, par exemple en interceptant la connexion ou en piratant le serveur. par lequel la liste est distribuée. En cas d'attaque réussie, l'attaquant pourrait faire en sorte que les utilisateurs se connectent via leur propre nœud de pont compromis.
Une vulnérabilité de gravité moyenne était présente dans le sous-système rdsys dans le script de déploiement de l'assembly et permettait à un attaquant d'élever ses privilèges de l'utilisateur personne à l'utilisateur rdsys, s'il avait accès au serveur et la possibilité d'écrire dans le répertoire avec une autorisation temporaire. des dossiers. L'exploitation de la vulnérabilité implique le remplacement du fichier exécutable situé dans le répertoire /tmp. L'obtention des droits d'utilisateur rdsys permet à un attaquant d'apporter des modifications aux fichiers exécutables lancés via rdsys.
Les vulnérabilités de faible gravité étaient principalement dues à l’utilisation de dépendances obsolètes contenant des vulnérabilités connues ou à un potentiel de déni de service. Les vulnérabilités mineures du navigateur Tor incluent la possibilité de contourner JavaScript lorsque le niveau de sécurité est défini au niveau le plus élevé, l'absence de restrictions sur les téléchargements de fichiers et la fuite potentielle d'informations via la page d'accueil de l'utilisateur, permettant de suivre les utilisateurs entre les redémarrages.
Actuellement, toutes les vulnérabilités ont été corrigées ; entre autres choses, l'authentification a été mise en œuvre pour tous les gestionnaires rdsys et la vérification des listes chargées dans le navigateur Tor par signature numérique a été ajoutée.
De plus, on peut noter la sortie du Tor Browser 13.0.1. La version est synchronisée avec la base de code Firefox 115.4.0 ESR, qui corrige 19 vulnérabilités (13 sont considérées comme dangereuses). Les correctifs de vulnérabilités de la branche 13.0.1 de Firefox ont été transférés vers Tor Browser 119 pour Android.
Source: opennet.ru