အမည်မသိ Tor ကွန်ရက်၏ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် Tor Browser နှင့် ပရောဂျက်မှ ဖန်တီးထားသော OONI Probe၊ rdsys၊ BridgeDB နှင့် Conjure ကိရိယာများ၏ စစ်ဆေးမှုရလဒ်များကို ထုတ်ပြန်ခဲ့ပြီး ဆင်ဆာဖြတ်တောက်မှုကို ကျော်ဖြတ်ရန် အသုံးပြုခဲ့သည်။ စာရင်းစစ်ကို Cure53 မှ နိုဝင်ဘာလ 2022 မှ ဧပြီလ 2023 ခုနှစ်အထိ ပြုလုပ်ခဲ့ပါသည်။
စစ်ဆေးမှုအတွင်း အားနည်းချက် ၉ ခုကို တွေ့ရှိခဲ့ပြီး ၎င်းတို့အနက် နှစ်ခုကို အန္တရာယ်ဟု ခွဲခြားသတ်မှတ်ကာ၊ တစ်ခုသည် အန္တရာယ်အဆင့် သတ်မှတ်ထားပြီး 9 ကို အန္တရာယ်အသေးစားအဆင့်တွင် ပြဿနာများအဖြစ် ခွဲခြားထားသည်။ ကုဒ်အခြေခံတွင်လည်း လုံခြုံရေးမဟုတ်သော ချို့ယွင်းချက်များအဖြစ် သတ်မှတ်ခံထားရသည့် ပြဿနာ ၁၀ ခုကို တွေ့ရှိခဲ့သည်။ ယေဘုယျအားဖြင့်၊ Tor Project ၏ကုဒ်သည် လုံခြုံသော ပရိုဂရမ်းမင်းကျင့်ထုံးများကို လိုက်နာရန် မှတ်သားထားသည်။
ပရောက်စီစာရင်းများနှင့် ဆင်ဆာဖြတ်ထားသော သုံးစွဲသူများထံ ဒေါင်းလုဒ်လင့်ခ်များကဲ့သို့သော အရင်းအမြစ်များ ပေးပို့မှုကို သေချာစေသည့် rdsys ဖြန့်ဝေသည့်စနစ်၏ နောက်ကွယ်တွင် ပထမဆုံး အန္တရာယ်ရှိသော အားနည်းချက်မှာ ရှိနေပါသည်။ အရင်းအမြစ် မှတ်ပုံတင်ခြင်း ကိုင်တွယ်သူအား ဝင်ရောက်ကြည့်ရှုသည့်အခါ အထောက်အထားစိစစ်ခြင်း မရှိခြင်းကြောင့် အားနည်းချက်ဖြစ်ပြီး တိုက်ခိုက်သူအား သုံးစွဲသူများထံ ပေးပို့ရန်အတွက် ၎င်းတို့၏ အန္တရာယ်ရှိသော အရင်းအမြစ်များကို မှတ်ပုံတင်ခွင့်ပြုထားသည်။ rdsys ကိုင်တွယ်သူထံ HTTP တောင်းဆိုချက်တစ်ခု ပေးပို့ရာတွင် လုပ်ဆောင်ချက်သည် အကျည်းတန်သည်။
ဒုတိယအန္တရာယ်ရှိသော အားနည်းချက်ကို Tor Browser တွင် တွေ့ရှိခဲ့ပြီး rdsys နှင့် BridgeDB မှတစ်ဆင့် တံတားအမှတ်အသားစာရင်းကို ပြန်လည်ရယူသည့်အခါ ဒစ်ဂျစ်တယ်လက်မှတ်စစ်ခြင်း မရှိခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ အမည်မသိ Tor ကွန်ရက်သို့ မချိတ်ဆက်မီ အဆင့်တွင် စာရင်းကို ဘရောက်ဆာတွင် ထည့်သွင်းထားသောကြောင့်၊ ကုဒ်ဝှက်ဒစ်ဂျစ်တယ် လက်မှတ်၏ အတည်ပြုခြင်း မရှိခြင်းကြောင့် တိုက်ခိုက်သူသည် ချိတ်ဆက်မှုကို ကြားဖြတ် သို့မဟုတ် ဆာဗာကို ဟက်ကာဖြင့် စာရင်း၏ အကြောင်းအရာများကို အစားထိုးနိုင်စေခဲ့သည်။ အဲဒီကနေတဆင့် စာရင်းဖြန့်ဝေတယ်။ တိုက်ခိုက်မှုအောင်မြင်သောအခါတွင်၊ တိုက်ခိုက်သူသည် အသုံးပြုသူများအား ၎င်းတို့၏ကိုယ်ပိုင်အပေးအယူလုပ်ထားသောတံတား node မှတဆင့်ချိတ်ဆက်ရန် စီစဉ်ပေးနိုင်သည်။
တပ်ဆင်အသုံးပြုမှု script တွင် rdsys subsystem တွင် အလယ်အလတ် ပြင်းထန်မှု အားနည်းချက်တစ်ခု ရှိနေပြီး တိုက်ခိုက်သူသည် ဆာဗာသို့ ဝင်ရောက်ခွင့်ရှိပြီး ယာယီလမ်းညွှန်တွင် စာရေးနိုင်လျှင် ၎င်း၏အခွင့်အရေးများကို မည်သူမှ အသုံးပြုသူမှ rdsys အသုံးပြုသူအထိ မြှင့်တင်ခွင့်ပြုထားသည်။ ဖိုင်များ။ အားနည်းချက်ကို အသုံးချခြင်းသည် /tmp directory တွင်ရှိသော executable file ကို အစားထိုးခြင်း ပါဝင်သည်။ rdsys အသုံးပြုသူအခွင့်အရေးများရရှိခြင်းသည် တိုက်ခိုက်သူတစ်ဦးအား rdsys မှတဆင့်စတင်သော executable files များအား အပြောင်းအလဲများပြုလုပ်နိုင်စေပါသည်။
ပြင်းထန်မှုနည်းသော အားနည်းချက်များသည် လူသိများသော အားနည်းချက်များ သို့မဟုတ် ဝန်ဆောင်မှုကို ငြင်းပယ်နိုင်သည့် အလားအလာများပါရှိသော ခေတ်မမီသော မှီခိုမှုများအသုံးပြုခြင်းကြောင့် အဓိကဖြစ်သည်။ Tor Browser တွင် သေးငယ်သော အားနည်းချက်များသည် လုံခြုံရေးအဆင့်ကို အမြင့်ဆုံးအဆင့်သို့ သတ်မှတ်သည့်အခါ၊ ဖိုင်ဒေါင်းလုဒ်လုပ်ခြင်းအပေါ် ကန့်သတ်ချက်များမရှိခြင်းနှင့် ပြန်လည်စတင်ခြင်းကြားတွင် သုံးစွဲသူများကို ခြေရာခံနိုင်စေမည့် သုံးစွဲသူများ၏ ပင်မစာမျက်နှာမှ အချက်အလက်ပေါက်ကြားမှုတို့ ပါဝင်ပါသည်။
လက်ရှိတွင်၊ အားနည်းချက်များအားလုံးကို ပြင်ဆင်ပြီးဖြစ်သည်၊ အခြားအရာများထဲတွင် rdsys ကိုင်တွယ်သူအားလုံးအတွက် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို လုပ်ဆောင်ပြီး Tor Browser တွင် ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့် တင်ထားသောစာရင်းများကို စစ်ဆေးခြင်းကို ထည့်သွင်းထားသည်။
ထို့အပြင်၊ Tor Browser 13.0.1 ၏ ထွက်ရှိမှုကို ကျွန်ုပ်တို့ မှတ်သားနိုင်ပါသည်။ ဖြန့်ချိမှုကို Firefox 115.4.0 ESR ကုဒ်ဘေ့စ်နှင့် ထပ်တူပြုထားပြီး အားနည်းချက် 19 ခုကို ပြုပြင်ပေးသည် (13 သည် အန္တရာယ်ရှိသည်ဟု ယူဆသည်)။ Firefox ဌာနခွဲ 13.0.1 မှ Vulnerability fixes များကို Android အတွက် Tor Browser 119 သို့ လွှဲပြောင်းထားပါသည်။
source: opennet.ru