De ûntwikkelders fan it anonime Tor-netwurk hawwe de resultaten publisearre fan in kontrôle fan 'e Tor Browser en de OONI Probe, rdsys, BridgeDB en Conjure-ark ûntwikkele troch it projekt, brûkt om sensuer te omgean. De kontrôle waard útfierd troch Cure53 fan novimber 2022 oant april 2023.
Tidens de kontrôle waarden 9-kwetsberheden identifisearre, wêrfan twa waarden klassifisearre as gefaarlik, ien waard tawiisd in medium nivo fan gefaar, en 6 waarden klassifisearre as problemen mei in lyts nivo fan gefaar. Ek yn 'e koadebasis waarden 10 problemen fûn dy't waarden klassifisearre as net-feiligens relatearre gebreken. Yn 't algemien wurdt de koade fan it Tor Project opmurken om te foldwaan oan feilige programmearringpraktiken.
De earste gefaarlike kwetsberens wie oanwêzich yn 'e efterkant fan it rdsys-ferspraat systeem, dat soarget foar de levering fan boarnen lykas proxylisten en downloadlinks nei sensurearre brûkers. De kwetsberens wurdt feroarsake troch in gebrek oan autentikaasje by tagong ta de boarne registraasje handler en tastien in oanfaller te registrearjen harren eigen kweade boarne foar levering oan brûkers. Operaasje komt del op it ferstjoeren fan in HTTP-fersyk nei de rdsys-handler.
De twadde gefaarlike kwetsberens waard fûn yn Tor Browser en waard feroarsake troch in gebrek oan ferifikaasje fan digitale hantekening by it opheljen fan in list mei brêgeknooppunten fia rdsys en BridgeDB. Sûnt de list wurdt laden yn 'e browser op it poadium foar it ferbinen mei it anonime Tor-netwurk, koe it ûntbrekken fan ferifikaasje fan' e kryptografyske digitale hantekening in oanfaller de ynhâld fan 'e list ferfange, bygelyks troch de ferbining te ûnderskeppen of de tsjinner te hacken troch dêr't de list wurdt ferdield. Yn it gefal fan in suksesfolle oanfal kin de oanfaller soargje dat brûkers ferbine fia har eigen kompromittearre brêgeknooppunt.
In kwetsberens fan medium earnst wie oanwêzich yn it rdsys-subsysteem yn it assembly-ynsetskript en koe in oanfaller syn privileezjes ferheegje fan 'e nobody-brûker nei de rdsys-brûker, as hy tagong hie ta de tsjinner en de mooglikheid om te skriuwen nei de map mei tydlike triemmen. It eksploitearjen fan de kwetsberens omfettet it ferfangen fan it útfierbere bestân yn 'e /tmp-map. Troch rdsys-brûkersrjochten te krijen kinne in oanfaller feroaringen meitsje oan útfierbere bestannen dy't lansearre binne fia rdsys.
Kwetsberheden mei lege earnst wiene primêr te tankjen oan it gebrûk fan ferâldere ôfhinklikens dy't bekende kwetsberens befette as it potinsjeel foar ûntkenning fan tsjinst. Lytse kwetsberens yn Tor Browser omfetsje de mooglikheid om JavaSkript te omgean as it befeiligingsnivo op it heechste nivo is ynsteld, it gebrek oan beheiningen op bestândownloads, en it potinsjele lek fan ynformaasje fia de thússide fan 'e brûker, wêrtroch brûkers kinne wurde folge tusken opnij starte.
Op it stuit binne alle kwetsberens reparearre; ûnder oaren is autentikaasje ymplementearre foar alle rdsys-hannelers en kontrôle fan listen dy't yn 'e Tor Browser laden binne troch digitale hantekening is tafoege.
Derneist kinne wy de frijlitting fan 'e Tor Browser 13.0.1 notearje. De útjefte is syngronisearre mei de Firefox 115.4.0 ESR-koadebase, dy't 19 kwetsberens reparearret (13 wurde as gefaarlik beskôge). Kwetsberheidsreparaasjes fan Firefox branch 13.0.1 binne oerbrocht nei Tor Browser 119 foar Android.
Boarne: opennet.ru