ಅನಾಮಧೇಯ ಟಾರ್ ನೆಟ್ವರ್ಕ್ನ ಡೆವಲಪರ್ಗಳು ಟಾರ್ ಬ್ರೌಸರ್ನ ಲೆಕ್ಕಪರಿಶೋಧನೆಯ ಫಲಿತಾಂಶಗಳನ್ನು ಪ್ರಕಟಿಸಿದ್ದಾರೆ ಮತ್ತು ಸೆನ್ಸಾರ್ಶಿಪ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಬಳಸಲಾಗುವ ಪ್ರಾಜೆಕ್ಟ್ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ OONI ಪ್ರೋಬ್, rdsys, BridgeDB ಮತ್ತು Conjure ಉಪಕರಣಗಳು. ನವೆಂಬರ್ 53 ರಿಂದ ಏಪ್ರಿಲ್ 2022 ರವರೆಗೆ Cure2023 ಆಡಿಟ್ ಅನ್ನು ನಡೆಸಿತು.
ಲೆಕ್ಕಪರಿಶೋಧನೆಯ ಸಮಯದಲ್ಲಿ, 9 ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಅವುಗಳಲ್ಲಿ ಎರಡನ್ನು ಅಪಾಯಕಾರಿ ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ, ಒಂದಕ್ಕೆ ಮಧ್ಯಮ ಮಟ್ಟದ ಅಪಾಯವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು 6 ಅನ್ನು ಸಣ್ಣ ಮಟ್ಟದ ಅಪಾಯದ ಸಮಸ್ಯೆಗಳೆಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ. ಕೋಡ್ ಬೇಸ್ನಲ್ಲಿ 10 ಸಮಸ್ಯೆಗಳು ಕಂಡುಬಂದಿವೆ, ಅದನ್ನು ಭದ್ರತೆಯೇತರ ದೋಷಗಳು ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ. ಸಾಮಾನ್ಯವಾಗಿ, ಟಾರ್ ಪ್ರಾಜೆಕ್ಟ್ನ ಕೋಡ್ ಸುರಕ್ಷಿತ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಅಭ್ಯಾಸಗಳನ್ನು ಅನುಸರಿಸಲು ಗುರುತಿಸಲ್ಪಟ್ಟಿದೆ.
ಮೊದಲ ಅಪಾಯಕಾರಿ ದುರ್ಬಲತೆಯು rdsys ವಿತರಣಾ ವ್ಯವಸ್ಥೆಯ ಬ್ಯಾಕೆಂಡ್ನಲ್ಲಿದೆ, ಇದು ಪ್ರಾಕ್ಸಿ ಪಟ್ಟಿಗಳು ಮತ್ತು ಸೆನ್ಸಾರ್ ಮಾಡಿದ ಬಳಕೆದಾರರಿಗೆ ಡೌನ್ಲೋಡ್ ಲಿಂಕ್ಗಳಂತಹ ಸಂಪನ್ಮೂಲಗಳ ವಿತರಣೆಯನ್ನು ಖಚಿತಪಡಿಸುತ್ತದೆ. ಸಂಪನ್ಮೂಲ ನೋಂದಣಿ ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಪ್ರವೇಶಿಸುವಾಗ ದೃಢೀಕರಣದ ಕೊರತೆಯಿಂದ ದುರ್ಬಲತೆಯು ಉಂಟಾಗುತ್ತದೆ ಮತ್ತು ಬಳಕೆದಾರರಿಗೆ ತಲುಪಿಸಲು ಆಕ್ರಮಣಕಾರರು ತಮ್ಮದೇ ಆದ ದುರುದ್ದೇಶಪೂರಿತ ಸಂಪನ್ಮೂಲವನ್ನು ನೋಂದಾಯಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟರು. rdsys ಹ್ಯಾಂಡ್ಲರ್ಗೆ HTTP ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಕಾರ್ಯಾಚರಣೆಯು ಕುದಿಯುತ್ತದೆ.
ಎರಡನೆಯ ಅಪಾಯಕಾರಿ ದುರ್ಬಲತೆಯು Tor ಬ್ರೌಸರ್ನಲ್ಲಿ ಕಂಡುಬಂದಿದೆ ಮತ್ತು rdsys ಮತ್ತು BridgeDB ಮೂಲಕ ಸೇತುವೆಯ ನೋಡ್ಗಳ ಪಟ್ಟಿಯನ್ನು ಹಿಂಪಡೆಯುವಾಗ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಪರಿಶೀಲನೆಯ ಕೊರತೆಯಿಂದ ಉಂಟಾಗುತ್ತದೆ. ಅನಾಮಧೇಯ ಟಾರ್ ನೆಟ್ವರ್ಕ್ಗೆ ಸಂಪರ್ಕಿಸುವ ಮೊದಲು ಪಟ್ಟಿಯನ್ನು ಬ್ರೌಸರ್ಗೆ ಲೋಡ್ ಮಾಡಲಾಗಿರುವುದರಿಂದ, ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಪರಿಶೀಲನೆಯ ಕೊರತೆಯು ಆಕ್ರಮಣಕಾರರಿಗೆ ಪಟ್ಟಿಯ ವಿಷಯಗಳನ್ನು ಬದಲಾಯಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು, ಉದಾಹರಣೆಗೆ, ಸಂಪರ್ಕವನ್ನು ಅಡ್ಡಿಪಡಿಸುವ ಮೂಲಕ ಅಥವಾ ಸರ್ವರ್ ಅನ್ನು ಹ್ಯಾಕ್ ಮಾಡುವ ಮೂಲಕ ಅದರ ಮೂಲಕ ಪಟ್ಟಿಯನ್ನು ವಿತರಿಸಲಾಗುತ್ತದೆ. ಯಶಸ್ವಿ ದಾಳಿಯ ಸಂದರ್ಭದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು ಬಳಕೆದಾರರು ತಮ್ಮದೇ ಆದ ರಾಜಿ ಬ್ರಿಡ್ಜ್ ನೋಡ್ ಮೂಲಕ ಸಂಪರ್ಕಿಸಲು ವ್ಯವಸ್ಥೆ ಮಾಡಬಹುದು.
ಅಸೆಂಬ್ಲಿ ನಿಯೋಜನೆ ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿನ rdsys ಉಪವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಮಧ್ಯಮ-ತೀವ್ರತೆಯ ದುರ್ಬಲತೆ ಇತ್ತು ಮತ್ತು ಆಕ್ರಮಣಕಾರನು ತನ್ನ ಸವಲತ್ತುಗಳನ್ನು ಯಾರೂ ಬಳಕೆದಾರರಿಂದ rdsys ಬಳಕೆದಾರರಿಗೆ ಏರಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟನು, ಅವನು ಸರ್ವರ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದರೆ ಮತ್ತು ಡೈರೆಕ್ಟರಿಗೆ ತಾತ್ಕಾಲಿಕವಾಗಿ ಬರೆಯುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿದ್ದರೆ. ಕಡತಗಳನ್ನು. ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದು /tmp ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಬದಲಿಸುವುದನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ. rdsys ಬಳಕೆದಾರರ ಹಕ್ಕುಗಳನ್ನು ಪಡೆಯುವುದರಿಂದ ಆಕ್ರಮಣಕಾರರು rdsys ಮೂಲಕ ಪ್ರಾರಂಭಿಸಲಾದ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳಿಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ.
ಕಡಿಮೆ-ತೀವ್ರತೆಯ ದೋಷಗಳು ಪ್ರಾಥಮಿಕವಾಗಿ ಹಳೆಯ ಅವಲಂಬನೆಗಳ ಬಳಕೆಯಿಂದಾಗಿ ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳು ಅಥವಾ ಸೇವೆಯ ನಿರಾಕರಣೆಯ ಸಂಭಾವ್ಯತೆಯನ್ನು ಒಳಗೊಂಡಿವೆ. ಟಾರ್ ಬ್ರೌಸರ್ನಲ್ಲಿನ ಸಣ್ಣ ದೋಷಗಳು ಭದ್ರತಾ ಮಟ್ಟವನ್ನು ಉನ್ನತ ಮಟ್ಟಕ್ಕೆ ಹೊಂದಿಸಿದಾಗ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಸಾಮರ್ಥ್ಯ, ಫೈಲ್ ಡೌನ್ಲೋಡ್ಗಳ ಮೇಲಿನ ನಿರ್ಬಂಧಗಳ ಕೊರತೆ ಮತ್ತು ಬಳಕೆದಾರರ ಮುಖಪುಟದ ಮೂಲಕ ಮಾಹಿತಿಯ ಸಂಭಾವ್ಯ ಸೋರಿಕೆ, ಮರುಪ್ರಾರಂಭದ ನಡುವೆ ಬಳಕೆದಾರರನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಪ್ರಸ್ತುತ, ಎಲ್ಲಾ ದೋಷಗಳನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ; ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಎಲ್ಲಾ rdsys ಹ್ಯಾಂಡ್ಲರ್ಗಳಿಗೆ ದೃಢೀಕರಣವನ್ನು ಅಳವಡಿಸಲಾಗಿದೆ ಮತ್ತು ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ ಮೂಲಕ ಟಾರ್ ಬ್ರೌಸರ್ಗೆ ಲೋಡ್ ಮಾಡಲಾದ ಪಟ್ಟಿಗಳ ಪರಿಶೀಲನೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ನಾವು ಟಾರ್ ಬ್ರೌಸರ್ 13.0.1 ಬಿಡುಗಡೆಯನ್ನು ಗಮನಿಸಬಹುದು. ಬಿಡುಗಡೆಯನ್ನು ಫೈರ್ಫಾಕ್ಸ್ 115.4.0 ESR ಕೋಡ್ಬೇಸ್ನೊಂದಿಗೆ ಸಿಂಕ್ರೊನೈಸ್ ಮಾಡಲಾಗಿದೆ, ಇದು 19 ದುರ್ಬಲತೆಗಳನ್ನು ಸರಿಪಡಿಸುತ್ತದೆ (13 ಅಪಾಯಕಾರಿ ಎಂದು ಪರಿಗಣಿಸಲಾಗಿದೆ). ಫೈರ್ಫಾಕ್ಸ್ ಶಾಖೆ 13.0.1 ರಿಂದ ದುರ್ಬಲತೆಯ ಪರಿಹಾರಗಳನ್ನು Android ಗಾಗಿ Tor ಬ್ರೌಸರ್ 119 ಗೆ ವರ್ಗಾಯಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru