Tha luchd-leasachaidh lìonra Tor gun urra air toraidhean sgrùdadh fhoillseachadh air Brabhsair Tor agus na h-innealan OONI Probe, rdsys, BridgeDB agus Conjure a chaidh a leasachadh leis a’ phròiseact, a chaidh a chleachdadh gus casg a chuir air caisgireachd. Chaidh an sgrùdadh a dhèanamh le Cure53 bhon t-Samhain 2022 gu Giblean 2023.
Rè an sgrùdaidh, chaidh 9 so-leòntachd a chomharrachadh, le dhà dhiubh air an seòrsachadh mar chunnartach, chaidh aon ìre meadhanach de chunnart a shònrachadh, agus chaidh 6 a chomharrachadh mar dhuilgheadasan le ìre bheag de chunnart. Cuideachd anns a 'bhunait chòd, chaidh 10 duilgheadasan a lorg a bha air an seòrsachadh mar lochdan neo-tèarainteachd. San fharsaingeachd, thathas a’ toirt fa-near gu bheil còd Pròiseact Tor a’ cumail ri cleachdaidhean prògramadh tèarainte.
Bha a’ chiad so-leòntachd cunnartach an làthair aig deireadh an t-siostam sgaoilte rdsys, a nì cinnteach gun tèid goireasan leithid liostaichean proxy a lìbhrigeadh agus ceanglaichean luchdachadh sìos gu luchd-cleachdaidh caisgireachd. Tha an so-leòntachd air adhbhrachadh le dìth dearbhaidh nuair a gheibh iad cothrom air an neach-làimhseachaidh clàraidh ghoireasan agus leig e le neach-ionnsaigh an goireas droch-rùnach aca fhèin a chlàradh airson a lìbhrigeadh do luchd-cleachdaidh. Tha gnìomhachd an urra ri bhith a’ cur iarrtas HTTP chun neach-làimhseachaidh rdsys.
Chaidh an dàrna so-leòntachd cunnartach a lorg ann am Brabhsair Tor agus bha e air adhbhrachadh le dìth dearbhadh ainm-sgrìobhte didseatach nuair a bha iad a’ faighinn liosta de nodan drochaid tro rdsys agus BridgeDB. Leis gu bheil an liosta air a luchdachadh a-steach don bhrobhsair aig an ìre mus ceangail e ris an lìonra Tor gun urra, leig dìth dearbhaidh an ainm-sgrìobhte didseatach criptografach le neach-ionnsaigh susbaint an liosta a chuir an àite, mar eisimpleir, le bhith a’ cur stad air a’ cheangal no a’ slaodadh an fhrithealaiche tro bheil an liosta air a sgaoileadh. Ma thachras ionnsaigh shoirbheachail, dh’ fhaodadh an neach-ionnsaigh ullachadh airson luchd-cleachdaidh ceangal a dhèanamh tron nód drochaid aca fhèin.
Bha so-leòntachd meadhanach trom an làthair ann am fo-shiostam rdsys ann an sgriobt cleachdadh an t-seanaidh agus leig e le neach-ionnsaigh na sochairean aige àrdachadh bhon neach-cleachdaidh gun neach gu neach-cleachdaidh rdsys, nam biodh cothrom aige air an fhrithealaiche agus an comas sgrìobhadh chun eòlaire le sealach. faidhlichean. Tha a bhith a’ gabhail brath air so-leòntachd a’ ciallachadh a bhith a’ cur an àite am faidhle so-ghnìomhaichte a tha suidhichte san eòlaire / tmp. Le bhith a’ faighinn còraichean luchd-cleachdaidh rdsys leigidh seo le neach-ionnsaigh atharrachaidhean a dhèanamh air faidhlichean so-ghnìomhaichte a thèid a chuir air bhog tro rdsys.
Bha so-leòntachd ìosal gu ìre mhòr mar thoradh air cleachdadh eisimeileachd seann-fhasanta anns an robh so-leòntachd aithnichte no an comas seirbheis a dhiùltadh. Tha so-leòntachd beag ann am Brabhsair Tor a’ toirt a-steach comas a dhol seachad air JavaScript nuair a tha an ìre tèarainteachd air a shuidheachadh chun na h-ìre as àirde, dìth chuingealachaidhean air luchdachadh sìos faidhle, agus fiosrachadh a dh’ fhaodadh a bhith air a leigeil ma sgaoil tro dhuilleag dachaigh an neach-cleachdaidh, a ’leigeil le luchd-cleachdaidh a bhith air an lorg eadar ath-thòiseachadh.
An-dràsta, chaidh a h-uile so-leòntachd a shuidheachadh; am measg rudan eile, chaidh dearbhadh a chuir an gnìomh airson a h-uile neach-làimhseachaidh rdsys agus chaidh sgrùdadh a dhèanamh air liostaichean air an luchdachadh a-steach do bhrobhsair Tor le ainm-sgrìobhte didseatach.
A bharrachd air an sin, is urrainn dhuinn toirt fa-near gun deach am Brabhsair Tor 13.0.1 a leigeil ma sgaoil. Tha an sgaoileadh air a shioncronachadh le bunait còd Firefox 115.4.0 ESR, a shocraicheas 19 so-leòntachd (tha 13 air am meas cunnartach). Chaidh fuasglaidhean so-leòntachd bho mheur Firefox 13.0.1 a ghluasad gu Tor Browser 119 airson Android.
Source: fosgailtenet.ru