Pêşdebirên tora Tor a nenas encamên vekolîna Tor Browser û OONI Probe, rdsys, BridgeDB û amûrên Conjure yên ku ji hêla projeyê ve hatine pêşve xistin, ku ji bo derbaskirina sansorê têne bikar anîn, weşandin. Kontrolkirin ji hêla Cure53 ve ji Mijdara 2022-an heya Nîsana 2023-an hate kirin.
Di kontrolê de 9 qels hatin tesbîtkirin ku 6 jê xeternak, yek jê asta xetereyê navîn û 10 jî wekî pirsgirêkên bi xetereya piçûk hatine destnîşankirin. Di heman demê de di binkeya kodê de, XNUMX pirsgirêkên ku wekî xeletiyên ne-ewlehî hatine dabeş kirin hatin dîtin. Bi gelemperî, koda Projeya Tor tête destnîşan kirin ku bi pratîkên bernamesaziya ewledar re têkildar e.
Xalbûna yekem a xeternak di paşperdeya pergala belavkirî ya rdsys de hebû, ku radestkirina çavkaniyan wekî navnîşên proxy û girêdanên dakêşanê ji bikarhênerên sansûrkirî re misoger dike. Zehfbûn ji ber kêmasiya erêkirinê ye dema ku xwe bigihîne hilgirê qeydkirina çavkaniyê û destûr da ku êrîşkar çavkaniyek xweya xerab ji bo radestkirina bikarhêneran tomar bike. Operasyon bi şandina daxwazek HTTP-ê ji hilgirê rdsys re vedigire.
Zelalbûna xeternak a duyemîn di Tor Browser de hate dîtin û ji ber nebûna verastkirina îmzaya dîjîtal dema ku navnîşek girêkên pirê bi riya rdsys û BridgeDB ve dikişand, bû. Ji ber ku lîste di qonaxê de berî ku bi tora Tor-ya nenas ve were girêdan di gerokê de tê barkirin, nebûna verastkirina îmzeya dîjîtal a krîptografî hişt ku êrîşkar naverokên navnîşê biguhezîne, mînakî, bi têkbirina girêdanê an hackkirina serverê. bi rêya ku lîste tê belavkirin. Di bûyera êrîşek serketî de, êrîşkar dikare rê li ber bikarhêneran bigire ku bi girêka pira xwe ya lihevhatî ve girêdayî bin.
Di binpergala rdsys-ê de di skrîpta birêkûpêkkirina meclîsê de lawaziyek bi giraniya navîn hebû û destûr dida êrîşkerek ku îmtiyazên xwe ji bikarhênerê tune berbi bikarhênerê rdsys bilind bike, ger gihîştina serverê û şiyana nivîsandina pelrêça bi demkî hebe. pelan. Kifşkirina qelsiyê bi cîhkirina pelê îcrakar ku di pelrêça /tmp de ye vedihewîne. Bidestxistina mafên bikarhênerê rdsys rê dide êrîşkerek ku di pelên îcrakar ên ku bi navgîniya rdsys ve hatî destpêkirin de guhertinan çêbike.
Qelsiyên kêm-zirav di serî de ji ber karanîna girêdanên kevnar ên ku qelsiyên naskirî an potansiyela redkirina karûbarê vedihewîne bûn. Xaliyên piçûk ên di Geroka Tor de şiyana derbaskirina JavaScript-ê dema ku asta ewlehiyê di asta herî jor de hatî danîn, nebûna sînordarkirina dakêşana pelan, û potansiyela derçûna agahdarî di nav rûpela malê ya bikarhêner de heye, ku dihêle bikarhêner di navbera ji nû ve destpêkirinê de werin şopandin.
Heya nuha, hemî qelsî hatine rast kirin; di nav tiştên din de, erêkirin ji bo hemî hilgirên rdsys hatîye bicîh kirin û kontrolkirina navnîşên ku di Geroka Tor-ê de bi îmzeya dîjîtal ve hatine barkirin hatine zêdekirin.
Wekî din, em dikarin berdana Tor Browser 13.0.1-ê destnîşan bikin. Serbestberdan bi kodbase ya Firefox 115.4.0 ESR re hevdem e, ku 19 qelsiyan rast dike (13 xeternak têne hesibandin). Serastkirinên lawaziyê ji şaxa Firefox 13.0.1-ê ji bo Android-ê ji Tor Browser 119 re hatine veguheztin.
Source: opennet.ru