wydania korygujące zestawu narzędzi Tor (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), służące do organizowania pracy anonimowej sieci Tor. Nowe wersje naprawiają dwie luki:
- - może zostać użyte przez dowolnego atakującego w celu zainicjowania odmowy usługi dla przekaźników. Atak może być również przeprowadzony przez serwery katalogowe Tor w celu zaatakowania klientów i usług ukrytych. Osoba atakująca może stworzyć warunki, które spowodują zbyt duże obciążenie procesora, zakłócając normalne działanie na kilka sekund lub minut (powtarzając atak, DoS może wydłużyć się na długi czas). Problem pojawia się od wersji 0.2.1.5-alfa.
- — zdalnie inicjowany wyciek pamięci, który ma miejsce, gdy dopełnianie obwodu jest dwukrotnie dopasowywane dla tego samego łańcucha.
Można też zauważyć, że w Luka w dodatku pozostaje nienaprawiona , co pozwala na uruchomienie kodu JavaScript w trybie Najbezpieczniejszej ochrony. Osobom, dla których ważne jest zakazanie wykonywania JavaScriptu, zaleca się tymczasowe wyłączenie obsługi JavaScript w przeglądarce w about:config poprzez zmianę parametru javascript.enabled w about:config.
Próbowali wyeliminować usterkę , ale jak się okazało, proponowana poprawka nie rozwiązuje całkowicie problemu. Sądząc po zmianach w następnej wydanej wersji , problem również nie został rozwiązany. Przeglądarka Tor zawiera automatyczne aktualizacje NoScript, więc gdy poprawka będzie dostępna, zostanie dostarczona automatycznie.
Źródło: opennet.ru