Sameeyayaasha shabakada Tor oo aan la magacaabin ayaa daabacday natiijooyinka xisaab xidhka Tor Browser iyo OONI Probe, rdsys, BridgeDB iyo Conjure qalabyada uu sameeyay mashruuca, loo isticmaalay in lagaga gudbo faafreebka. Hantidhawrka waxa qabtay Cure53 laga bilaabo Noofambar 2022 ilaa Abriil 2023.
Intii lagu guda jiray hanti-dhawrka, waxa la ogaaday 9 baylah, oo laba ka mid ah loo kala saaray khatar, mid waxa loo qoondeeyay khatar dhexdhexaad ah, iyo 6 ka mid ah waxa loo kala saaray dhibaatooyin heerkoodu yar yahay. Sidoo kale saldhigga code-ka, 10 dhibaato ayaa laga helay kuwaas oo lagu sifeeyay cillado aan amniga la xiriirin. Guud ahaan, koodka Mashruuca Tor waxaa lagu xusay inuu u hoggaansamo dhaqamada barnaamijyada sugan.
Nuglaanta ugu horreysa ee khatarta ah waxay ku jirtay dhabarka dambe ee nidaamka qaybinta rdsys, kaas oo hubiya gaarsiinta agabka sida liisaska wakiillada iyo soo dejinta xiriiriyeyaasha isticmaalayaasha faafreebka. Nuglaanta waxaa sababa aqoonsi la'aanta marka la gelayo maamulaha diiwaan gelinta kheyraadka oo loo oggolaaday weeraryahan inuu diiwaan geliyo kheyraadkooda xaasidnimo ee loogu talagalay isticmaaleyaasha. Hawlgalku wuxuu hoos ugu dhacayaa soo dirida codsiga HTTP maamulaha rdsys.
Nuglaanta labaad ee khatarta ah ayaa laga helay Tor Browser waxaana sababay la'aanta xaqiijinta saxeexa dhijitaalka ah markii la soo saarayo liiska noodhka buundada ee rdsys iyo BridgeDB. Maadaama liiska lagu shubay browserka marxaladda ka hor inta aan lagu xidhin shabakada Tor ee qarsoodiga ah, la'aanta xaqiijinta saxiixa dhijitaalka ah ee cryptographic waxay u ogolaatay weeraryahan inuu beddelo waxa ku jira liiska, tusaale ahaan, isagoo dhexda u galaya xiriirka ama jabsanaya serverka. kaas oo liiska lagu qaybiyo. Haddii ay dhacdo weerar guul leh, weeraryahanku waxa uu u habayn karaa isticmaalayaasha in ay ku xidhmaan buundada u gaarka ah.
Nuglaanta darnaanta dhexdhexaadka ah ayaa ku jirtay nidaamka hoosaadka rdsys ee qoraalka geynta golaha waxayna u ogolaatay weeraryahan inuu sare u qaado mudnaanta uu ka helayo isticmaaleha aan cidi isticmaalin isticmaalaha rdsys, haddii uu galo serverka iyo awooda uu wax ugu qoro tusaha si ku meel gaar ah faylasha. Ka faa'iidaysiga dayacanka waxa ku jira in la beddelo faylka la fulin karo ee ku yaal tusaha/tmp. Helitaanka xuquuqda isticmaalaha rdsys waxay u oggolaanaysaa weeraryahan inuu isbeddel ku sameeyo faylasha la fulin karo ee laga dhex bilaabay rdsys.
Nuglaanta hooseeysa ayaa ugu horrayn ay sabab u ahayd adeegsiga ku-tiirsanaanta duugowday ee ka kooban baylahda la yaqaan ama suurtagalnimada diidmada adeegga. Nuglaanta yaryar ee Tor Browser waxaa ka mid ah awoodda lagu dhaafo JavaScript marka heerka amniga la dejiyo heerka ugu sarreeya, xaddidaad la'aanta soo dejinta faylalka, iyo ka daadashada macluumaadka ee bogga guriga isticmaalaha, taas oo u oggolaanaysa isticmaalayaasha in lala socdo inta u dhaxaysa dib u bilaabashada.
Hadda, dhammaan baylahda waa la hagaajiyay, iyo waxyaabo kale, xaqiijinta ayaa loo hirgeliyay dhammaan maamulayaasha rdsys iyo hubinta liisaska lagu shubay Tor Browser ee saxeex dijital ah ayaa lagu daray.
Intaa waxaa dheer, waxaan ogaan karnaa sii deynta Tor Browser 13.0.1. Siideynta waxaa la mid ah Firefox 115.4.0 ESR codebase, kaas oo hagaajiya 19 dayacan (13 ayaa loo arkaa khatar). Hagaajinta nuglaanta ee laanta Firefox 13.0.1 ayaa loo wareejiyay Tor Browser 119 ee Android.
Source: opennet.ru