מפתחי רשת האנונימיות Tor פרסמו את תוצאות הביקורת של דפדפן Tor וכלי OONI Probe, rdsys, BridgeDB ו-Conjure שפותחו על ידי הפרויקט, המשמשים לעקיפת צנזורה. הביקורת נערכה על ידי Cure53 מנובמבר 2022 עד אפריל 2023.
במהלך הביקורת זוהו תשע פגיעויות, שתיים מהן סווגו כחמורות, אחת כחמורה בינונית ושש כבעיות בדרגת חומרה נמוכה. עשר בעיות שסווגו כבלגמים שאינם קשורים לאבטחה נמצאו גם הן בבסיס הקוד. בסך הכל, קוד פרויקט Tor דורג כתואם לנהלי קידוד מאובטחים.
הפגיעות הקריטית הראשונה הייתה קיימת במערכת המבוזרת rdsys, המספקת משאבים כגון רשימות פרוקסי וקישורי הורדה למשתמשים מצונזרים. הפגיעות נגרמה עקב חוסר אימות בעת גישה לטיפול רישום המשאבים ואפשרה לתוקף לרשום משאב זדוני משלו לצורך אספקה למשתמשים. ניצול כרוך בשליחת בקשת HTTP לטיפול rdsys.
פגיעות מסוכנת שנייה התגלתה בדפדפן Tor ונגרמה עקב חוסר אימות חתימה דיגיטלית בעת אחזור רשימה של צמתי גשר דרך rdsys ו-BridgeDB. מכיוון שהרשימה מורדת לדפדפן לפני ההתחברות לרשת האנונימיות של Tor, חוסר האימות באמצעות חתימה דיגיטלית קריפטוגרפית אפשר לתוקף לזייף את תוכן הרשימה, למשל, על ידי יירוט החיבור או פריצה. שרת, שדרכו מופצת הרשימה. אם ההתקפה הייתה מוצלחת, התוקף יוכל לחבר משתמשים דרך צומת הגשר שלו שנפרץ.
פגיעות ברמת חומרה בינונית נצפתה בתת-המערכת rdsys בסקריפט פריסת האסמבלי ואפשרה לתוקף להעלות את הרשאותיו ממשתמש nobody למשתמש rdsys, תוך מתן גישה ל... שרת והיכולת לכתוב לספרייה המכילה קבצים זמניים. ניצול הפגיעות כולל החלפת קובץ ההפעלה הממוקם בספרייה /tmp. קבלת הרשאות משתמש rdsys מאפשרת לתוקף לשנות קבצי הפעלה שהופקו דרך rdsys.
פגיעויות בדרגת חומרה נמוכה היו קשורות בעיקר לשימוש בתלות מיושנות המכילות פגיעויות ידועות, או לאפשרות של מניעת שירות. פגיעויות קלות בדפדפן Tor כוללות את היכולת לעקוף מגבלות ביצוע של JavaScript כאשר רמת האבטחה הגבוהה ביותר מוגדרת, היעדר מגבלות הורדת קבצים ודליפת מידע אפשרית דרך דף הבית של המשתמש, מה שמאפשר מעקב אחר משתמשים בין הפעלות מחדש.
נכון לעכשיו, כל הפגיעויות תוקנו, כולל יישום אימות עבור כל מטפלי rdsys והוספת אימות חתימה דיגיטלית עבור רשימות שנטענות לדפדפן Tor.
כמו כן ראוי לציין את שחרורו של דפדפן Tor 13.0.1. גרסה זו מסונכרנת עם בסיס הקוד ESR של Firefox 115.4.0, אשר מטפל ב-19 פגיעויות (13 מהן נחשבו חמורות). דפדפן Tor 13.0.1 לאנדרואיד כולל תיקוני פגיעויות מ-Firefox 119.
מקור: OpenNet.ru
