23. március 2020-án a Tor Project kiadott egy frissítést a Tor Browser 9.0.7-es verziójára, amely kijavítja a Tor router biztonsági problémáit, és jelentősen megváltoztatja a böngésző viselkedését a legbiztonságosabb (legbiztonságosabb) beállítási szint kiválasztásakor.
A legbiztonságosabb szint azt jelenti, hogy a JavaScript alapértelmezés szerint le van tiltva minden webhelyen. A NoScript-bővítmény hibája miatt azonban ez a korlátozás jelenleg megkerülhető. Megkerülő megoldásként a Tor Browser fejlesztői lehetetlenné tették a JavaScript futtatását, ha a legmagasabb biztonsági szintre van állítva.
Ez megszakíthatja a Tor Browser élményét minden olyan felhasználó számára, akinél a legmagasabb biztonsági mód engedélyezve van, mivel a JavaScript engedélyezése már nem lehetséges a NoScript beállításain keresztül.
Ha legalább ideiglenesen vissza kell állítania a böngésző korábbi viselkedését, azt manuálisan is megteheti, az alábbiak szerint:
- Nyisson meg egy új lapot.
- Írja be a címsorba: about:config, és nyomja meg az Enter billentyűt.
- A címsor alatti keresősávba írja be: javascript.enabled
- Kattintson duplán a fennmaradó sorra, az „Érték” mező hamisról igazra változik
A beépített Tor hálózati útválasztót a 0.4.2.7-es verzióra frissítették. A következő hiányosságokat javítottuk az új verzióban:
- Javítottunk egy hibát (CVE-2020-10592), amely lehetővé tette bárki számára, hogy DoS-támadást hajtson végre egy közvetítő vagy gyökér címtárszerveren, ami CPU-túlterhelést okoz, vagy maguktól a címtárkiszolgálóktól (nem csak a gyökérkiszolgálóktól) támadhat, ami CPU-túlterhelést okoz hétköznapi hálózati felhasználók.
A célzott CPU-túlterhelés nyilvánvalóan felhasználható időzítési támadások indítására, segítve a felhasználók vagy rejtett szolgáltatások anonimizálását. - Javítva a CVE-2020-10593, amely távoli memóriaszivárgást okozhat, ami egy elavult lánc újrafelhasználásához vezethet
- Egyéb hibák és hiányosságok
Forrás: linux.org.ru