opravné vydania súpravy nástrojov Tor (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), ktoré sa používajú na organizáciu práce anonymnej siete Tor. Nové verzie opravujú dve zraniteľnosti:
- - môže byť použitý ktorýmkoľvek útočníkom na začatie odmietnutia služby relé. Útok môžu vykonať aj adresárové servery Tor na útok na klientov a skryté služby. Útočník môže vytvoriť podmienky, ktoré vedú k prílišnej záťaži CPU a narúšajú normálnu prevádzku na niekoľko sekúnd alebo minút (opakovaním útoku sa môže DoS predĺžiť na dlhú dobu). Problém sa objavuje od vydania 0.2.1.5-alfa.
- — vzdialene iniciovaný únik pamäte, ku ktorému dochádza, keď je výplň obvodu dvojito spárovaná pre rovnaký reťazec.
Možno tiež poznamenať, že v zraniteľnosť v doplnku zostáva neopravená , ktorý vám umožňuje spúšťať kód JavaScript v režime najbezpečnejšej ochrany. Pre tých, pre ktorých je zákaz spúšťania JavaScriptu dôležitý, sa odporúča dočasne zakázať používanie JavaScriptu v prehliadači v about:config zmenou parametra javascript.enabled v about:config.
Poruchu sa snažili odstrániť v , ale ako sa ukázalo, navrhovaná oprava problém úplne nerieši. Súdiac podľa zmien v nasledujúcom vydaní , problém tiež nie je vyriešený. Tor Browser obsahuje automatické aktualizácie NoScript, takže akonáhle bude oprava dostupná, bude automaticky doručená.
Zdroj: opennet.ru