korrigerande utgåvor av Tor-verktygslådan (0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), som används för att organisera arbetet i det anonyma Tor-nätverket. De nya versionerna fixar två sårbarheter:
- - kan användas av alla angripare för att initiera ett överbelastningsskydd till reläer. Attacken kan också utföras av Tor-katalogservrar för att attackera klienter och dolda tjänster. En angripare kan skapa förhållanden som leder till för stor belastning på CPU, vilket stör normal drift i flera sekunder eller minuter (genom att upprepa attacken kan DoS förlängas under lång tid). Problemet har uppstått sedan version 0.2.1.5-alpha.
- — en fjärrinitierad minnesläcka som uppstår när kretsutfyllnad är dubbelmatchad för samma kedja.
Det kan också noteras att i sårbarheten i tillägget förblir oåtgärdad , som låter dig köra JavaScript-kod i det säkraste skyddsläget. För dem för vilka det är viktigt att förbjuda körning av JavaScript, rekommenderas att tillfälligt inaktivera användningen av JavaScript i webbläsaren i about:config genom att ändra parametern javascript.enabled i about:config.
De försökte eliminera defekten i , men som det visade sig löser den föreslagna korrigeringen inte problemet helt. Att döma av förändringarna i nästa släppta release , problemet är inte heller löst. Tor Browser inkluderar automatiska NoScript-uppdateringar, så när en fix är tillgänglig kommer den att levereras automatiskt.
Källa: opennet.ru