corrigerende releases van de Tor-toolkit (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), gebruikt om het werk van het anonieme Tor-netwerk te organiseren. De nieuwe versies verhelpen twee kwetsbaarheden:
- - kan door elke aanvaller worden gebruikt om een Denial of Service voor relais te initiëren. De aanval kan ook worden uitgevoerd door Tor-directoryservers om clients en verborgen services aan te vallen. Een aanvaller kan omstandigheden creëren die leiden tot een te hoge belasting van de CPU, waardoor de normale werking enkele seconden of minuten wordt verstoord (door de aanval te herhalen kan de DoS voor een lange tijd worden verlengd). Het probleem doet zich voor sinds release 0.2.1.5-alpha.
- — een op afstand geïnitieerd geheugenlek dat optreedt wanneer circuitopvulling voor dezelfde keten dubbel wordt aangepast.
Ook kan worden opgemerkt dat in De kwetsbaarheid in de add-on is nog steeds niet opgelost , waarmee u JavaScript-code kunt uitvoeren in de veiligste beveiligingsmodus. Voor degenen voor wie het verbieden van de uitvoering van JavaScript belangrijk is, wordt aanbevolen om het gebruik van JavaScript in de browser tijdelijk uit te schakelen in about:config door de parameter javascript.enabled in about:config te wijzigen.
Ze hebben geprobeerd het defect te verhelpen , maar het bleek dat de voorgestelde oplossing het probleem niet volledig oplost. Te oordelen naar de wijzigingen in de volgende uitgebrachte release , het probleem is ook niet opgelost. Tor Browser bevat automatische NoScript-updates, dus zodra er een oplossing beschikbaar is, wordt deze automatisch geleverd.
Bron: opennet.ru