versioni correttive del toolkit Tor (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), utilizzate per organizzare il lavoro della rete Tor anonima. Le nuove versioni risolvono due vulnerabilità:
- - può essere utilizzato da qualsiasi utente malintenzionato per avviare una negazione del servizio ai relè. L'attacco può essere effettuato anche dai directory server Tor per attaccare client e servizi nascosti. Un utente malintenzionato può creare condizioni che portano a un carico eccessivo sulla CPU, interrompendo il normale funzionamento per diversi secondi o minuti (ripetendo l'attacco, il DoS può essere prolungato per molto tempo). Il problema si presenta a partire dalla versione 0.2.1.5-alpha.
- — una perdita di memoria avviata da remoto che si verifica quando il riempimento del circuito viene effettuato una doppia corrispondenza per la stessa catena.
Si può anche notare che in la vulnerabilità nel componente aggiuntivo rimane non risolta , che consente di eseguire il codice JavaScript nella modalità di protezione più sicura. Per coloro per i quali è importante vietare l'esecuzione di JavaScript, si consiglia di disabilitare temporaneamente l'uso di JavaScript nel browser in about:config modificando il parametro javascript.enabled in about:config.
Hanno cercato di eliminare il difetto , ma a quanto pare la soluzione proposta non risolve completamente il problema. A giudicare dalle modifiche nella prossima versione rilasciata , anche il problema non è risolto. Tor Browser include aggiornamenti automatici NoScript, quindi una volta disponibile una correzione, verrà consegnata automaticamente.
Fonte: opennet.ru