Namoaka ny valin'ny fanaraha-maso ny Tor Browser sy ny fitaovana OONI Probe, rdsys, BridgeDB ary Conjure novolavolain'ny tetikasa ireo mpamorona ny tambajotra Tor tsy fantatra anarana, nampiasaina handosirana ny sivana. Ny fanaraha-maso dia notarihin'ny Cure53 nanomboka tamin'ny Novambra 2022 ka hatramin'ny Aprily 2023.
Nandritra ny fanaraha-maso dia nahitana vulnerabilité 9, ny roa amin'izy ireo dia voasokajy ho mampidi-doza, ny iray nomena ny antonony loza, ary ny 6 no sokajiana ho olana amin'ny ambaratonga kely loza. Ao amin'ny fototry ny kaody, olana 10 no hita izay voasokajy ho lesoka mifandraika amin'ny fiarovana. Amin'ny ankapobeny, ny kaody Tor Project dia voamarika fa mifanaraka amin'ny fomba fiasa azo antoka.
Ny vulnerable mampidi-doza voalohany dia hita ao amin'ny lamosin'ny rafitra zaraina rdsys, izay miantoka ny fandefasana loharano toy ny lisitry ny proxy sy rohy fampidinana ireo mpampiasa voasivana. Ny vulnerability dia vokatry ny tsy fahampian'ny fanamarinana rehefa miditra amin'ny mpitantana fisoratana anarana loharano ary namela ny mpanafika iray hanoratra ny loharanon-dry zareo manokana ho an'ny fandefasana ny mpampiasa. Ny fandidiana dia mandeha amin'ny fandefasana fangatahana HTTP amin'ny mpandrindra rdsys.
Ny vulnerable faharoa mampidi-doza dia hita tao amin'ny Tor Browser ary vokatry ny tsy fahampian'ny fanamarinana sonia nomerika rehefa maka ny lisitry ny node tetezana amin'ny alàlan'ny rdsys sy BridgeDB. Koa satria ny lisitra dia nampidirina tao amin'ny navigateur eo amin'ny sehatra alohan'ny hifandraisana amin'ny tambajotra Tor tsy mitonona anarana, ny tsy fisian'ny fanamarinana ny sonia nomerika kriptografika dia nahafahan'ny mpanafika iray hanolo ny votoatin'ny lisitra, ohatra, amin'ny alàlan'ny fisakanana ny fifandraisana na ny fijinjana ny mpizara. amin'ny alalan'ny fizarana ny lisitra. Raha misy fanafihana mahomby, ny mpanafika dia afaka mandamina ny mpampiasa mba hifandray amin'ny alalan'ny node tetezana simba.
Ny vulnerability antonony dia misy ao amin'ny subsystem rdsys ao amin'ny script deployment assembly ary namela ny mpanafika hanandratra ny tombontsoany avy amin'ny mpampiasa tsy misy olona mankany amin'ny mpampiasa rdsys, raha toa ka afaka miditra amin'ny server izy ary afaka manoratra amin'ny lahatahiry miaraka amin'ny fotoana fohy. rakitra. Ny fampiasana ny vulnerability dia ny fanoloana ny rakitra azo tanterahana hita ao amin'ny lahatahiry /tmp. Ny fahazoana ny zon'ny mpampiasa rdsys dia ahafahan'ny mpanafika manao fanovana amin'ny rakitra azo tanterahana natomboka tamin'ny rdsys.
Ny vulnerabilité ambany indrindra dia noho ny fampiasana ny fiankinan-doha efa lany andro izay misy ny fahalemena fantatra na ny mety hisian'ny fandavana ny serivisy. Ny fahalemena madinidinika ao amin'ny Tor Browser dia ahitana ny fahafahana mandingana ny JavaScript rehefa apetraka amin'ny ambaratonga avo indrindra ny haavon'ny fiarovana, ny tsy fisian'ny fameperana amin'ny fampidinana rakitra, ary ny mety hisian'ny fampahalalam-baovao amin'ny alàlan'ny pejin-tranon'ny mpampiasa, ahafahan'ny mpampiasa hojerena eo anelanelan'ny fanombohana.
Amin'izao fotoana izao, ny vulnerabilities rehetra dia raikitra; ankoatry ny zavatra hafa, dia nampiharina ny fanamarinana ho an'ny mpitantana rdsys rehetra ary ny fanaraha-maso ny lisitra napetraka ao amin'ny Tor Browser amin'ny alàlan'ny sonia nomerika dia nampiana.
Fanampin'izany, azontsika atao ny manamarika ny famoahana ny Tor Browser 13.0.1. Ny famoahana dia ampiarahina amin'ny Firefox 115.4.0 ESR codebase, izay manamboatra vulnerabilities 19 (13 no heverina ho mampidi-doza). Nafindra tao amin'ny Tor Browser 13.0.1 ho an'ny Android ny fanamboarana vulnerability avy amin'ny sampana Firefox 119.
Source: opennet.ru