Tincimenta anonymi Tor retis ediderunt eventus computi Tor Browser et OONI Probe, rdsys, BridgeDB et Conjure instrumenta quae ab incepto evoluta sunt, censuram praeterire solebant. Auditorium a Cure53 a Novembri 2022 ad Aprilem 2023 gestum est.
In computo 9 passibilitates notae sunt, quarum duae periculosae erant, quarum altera medium periculum periculi erat, et 6 difficultates minoris periculo ponebantur. Etiam in codice basis, 10 problemata inventa sunt, quae inter vitia non-securitatis indicabantur. In genere, codicem Tor Project notavit implere exercitia programmandi secure.
Prima vulnerabilitas periculosa aderat in posteriori systemate rdsys distributo, quod praestat opum traditionem ut ineundo tabulae et download nexus usorum notatorum. Vulnerabilitas ex defectu authenticitatis causatur cum accessio subsidii adnotationes tracto et impugnatorem permittit ut suas facultates malitiosas subcriptio pro usoribus traditio. Operatio ulcera ad petitionem HTTP mittendam ad tractatorem rdsys.
Secunda vulnerabilitas periculosa in Tor Browser inventa est et per defectum verificationis signaturae digitalis causata est cum indicem nodis pontis per rdsys et BridgeDB recuperans. Cum index in scaena navigatoris oneratur antequam cum reticulo anonymo Tor coniungitur, defectus verificationis digitalis cryptographicae permisit impugnatorem ut contenta indicem reponere, exempli gratia, nexum intercipiendo vel servo caesim per quem elenchus distribuitur. In eventu prosperi oppugnationis, oppugnator utentes disponere per pontem nodi per suos commissorum coniungi potuit.
Aderat vulnerabilitas mediae severitatis in rdsys subsystem in synagoga scripturae instruendae et permisit impugnatorem ut privilegia sua elevaret a nullo usuario ad usor rdsys, si accessum ad ministratorem et facultatem scribendi indicem cum temporariis. imagini. Exsequens vulnerabilitatem implicat reponendam tabellam exsecutabilem in directorio /tmp positam. Iura obtinens rdsys usoris permittit oppugnatorem reddere mutationes files exsecutabiles per rdsys deductas.
Vulnerationes infimae severitatis imprimis fuerunt propter usum clientium iampridem qui notae vulnerabilitates vel potentiae ad negationem servitii continebant. Minores vulnerabilitates in Tor Browser comprehendunt facultatem JavaScript praeterire cum gradus securitatis ad summum gradum constituitur, defectus restrictionum in downloads, et potentiae rimarum notitiarum per paginam utentis, permittens utentes inter restarts investigari.
In praesenti, omnia vulnerabilitates fixa sunt, inter alia, authenticatio pro omnibus tractatoribus rdsys effecta est et inhibitio tabularum in Tor Browser a subscriptione digitali onerata addita est.
Praeterea notare possumus emissionem Tor Browser 13.0.1. Emissio synchronised cum Firefox 115.4.0 ESR codebase, quae 19 vulnerabilitates figit (13 periculosa existimantur). Vulnerabilitas figens ab Firefox ramo 13.0.1 translatae sunt ad Tor Pasco 119 pro Android.
Source: opennet.ru