Anonimitātes tīkla Tor izstrādātāji ir publicējuši Tor pārlūkprogrammas un projekta izstrādāto OONI Probe, rdsys, BridgeDB un Conjure rīku, kas tiek izmantoti cenzūras apiešanai, audita rezultātus. Auditu no 2022. gada novembra līdz 2023. gada aprīlim veica Cure53.
Audita laikā tika identificētas deviņas ievainojamības, no kurām divas tika klasificētas kā nopietnas, viena kā vidēji nopietna un sešas kā zemas nopietnības problēmas. Koda bāzē tika atrastas arī desmit problēmas, kas klasificētas kā ar drošību nesaistītas nepilnības. Kopumā Tor projekta kods tika novērtēts kā atbilstošs drošas kodēšanas praksei.
Pirmā kritiskā ievainojamība pastāvēja rdsys izkliedētās sistēmas aizmugursistēmā, kas piegādā resursus, piemēram, starpniekservera sarakstus un lejupielādes saites, cenzētiem lietotājiem. Ievainojamību izraisīja autentifikācijas trūkums, piekļūstot resursu reģistrācijas apstrādātājam, un tā ļāva uzbrucējam reģistrēt savus ļaunprātīgos resursus piegādei lietotājiem. Ievainojamības izmantošana ietver HTTP pieprasījuma nosūtīšanu rdsys apstrādātājam.

Otra bīstama ievainojamība tika atklāta Tor pārlūkprogrammā, un to izraisīja digitālā paraksta pārbaudes trūkums, izgūstot tilta mezglu sarakstu, izmantojot rdsys un BridgeDB. Tā kā saraksts tiek lejupielādēts pārlūkprogrammā pirms savienojuma izveides ar Tor anonimitātes tīklu, pārbaudes trūkums, izmantojot kriptogrāfisku digitālo parakstu, ļāva uzbrucējam viltot saraksta saturu, piemēram, pārtverot savienojumu vai uzlaužot to. serveris, caur kuru saraksts tiek izplatīts. Ja uzbrukums bija veiksmīgs, uzbrucējs varēja savienot lietotājus, izmantojot savu kompromitēto tilta mezglu.
Montāžas izvietošanas skriptā rdsys apakšsistēmā bija vidējas nopietnības ievainojamība, kas ļāva uzbrucējam paaugstināt savas privilēģijas no lietotāja “neviens” uz lietotāja “rdsys”, kuram tika piešķirta piekļuve serveris un iespēja rakstīt direktorijā, kurā atrodas pagaidu faili. Šīs ievainojamības izmantošana ietver izpildāmā faila, kas atrodas /tmp direktorijā, aizstāšanu. Rdsys lietotāja privilēģiju iegūšana ļauj uzbrucējam modificēt izpildāmos failus, kas palaisti, izmantojot rdsys.
Zemas nopietnības ievainojamības galvenokārt bija saistītas ar novecojušu atkarību izmantošanu, kas satur zināmas ievainojamības, vai ar pakalpojuma atteikuma iespēju. Nelielas Tor pārlūkprogrammas ievainojamības ietver spēju apiet JavaScript izpildes ierobežojumus, ja ir iestatīts augstākais drošības līmenis, failu lejupielādes ierobežojumu trūkumu un iespējamu informācijas noplūdi caur lietotāja sākumlapu, kas ļauj izsekot lietotājiem starp restartēšanas reizēm.
Pašlaik visas ievainojamības ir novērstas, tostarp autentifikācijas ieviešana visiem rdsys apstrādātājiem un digitālā paraksta verifikācijas pievienošana sarakstiem, kas ielādēti Tor pārlūkprogrammā.
Turklāt mēs vēlētos izcelt Tor Browser 13.0.1 versijas izlaišanu. Šī versija ir sinhronizēta ar Firefox 115.4.0 ESR koda bāzi, kas novērš 19 ievainojamības (no kurām 13 tiek uzskatītas par bīstamām). Tor Browser 13.0.1 ietver Android Atpakaļportētas ievainojamību labojumi no Firefox 119 versijas.
Avots: opennet.ru
