Watengenezaji wa mtandao wa Tor wasiojulikana wamechapisha matokeo ya ukaguzi wa Kivinjari cha Tor na zana za OONI Probe, rdsys, BridgeDB na Conjure zilizotengenezwa na mradi huo, zinazotumiwa kupitisha udhibiti. Ukaguzi ulifanywa na Cure53 kuanzia Novemba 2022 hadi Aprili 2023.
Wakati wa ukaguzi, udhaifu 9 ulitambuliwa, wawili kati yao waliainishwa kuwa hatari, mmoja alipewa kiwango cha wastani cha hatari, na 6 waliwekwa kama shida na kiwango kidogo cha hatari. Pia katika msingi wa kanuni, matatizo 10 yalipatikana ambayo yaliwekwa kama dosari zisizohusiana na usalama. Kwa ujumla, msimbo wa Mradi wa Tor unabainika kutii mbinu salama za upangaji programu.
Athari ya kwanza hatari ilikuwepo nyuma ya mfumo unaosambazwa wa rdsys, ambao huhakikisha uwasilishaji wa rasilimali kama vile orodha za seva mbadala na viungo vya kupakua kwa watumiaji waliodhibitiwa. Athari hii inasababishwa na ukosefu wa uthibitishaji wakati wa kufikia kidhibiti cha usajili wa rasilimali na kumruhusu mshambulizi kusajili rasilimali yake hasidi ili kuwasilishwa kwa watumiaji. Uendeshaji hupungua hadi kutuma ombi la HTTP kwa kidhibiti cha rdsys.
Athari ya pili ya hatari ilipatikana katika Kivinjari cha Tor na ilisababishwa na ukosefu wa uthibitishaji wa sahihi ya dijiti wakati wa kurejesha orodha ya nodi za daraja kupitia rdsys na BridgeDB. Kwa kuwa orodha hiyo imepakiwa kwenye kivinjari kwenye hatua kabla ya kuunganishwa na mtandao wa Tor usiojulikana, ukosefu wa uthibitishaji wa saini ya dijiti ya kriptografia iliruhusu mshambuliaji kuchukua nafasi ya yaliyomo kwenye orodha, kwa mfano, kwa kukatiza unganisho au kuvinjari seva. kupitia ambayo orodha inasambazwa. Katika tukio la shambulio lililofanikiwa, mshambuliaji anaweza kupanga watumiaji kuunganishwa kupitia nodi yao ya daraja iliyoathiriwa.
Athari ya ukali wa wastani ilikuwepo katika mfumo mdogo wa rdsys katika hati ya usambazaji wa mkusanyiko na iliruhusu mshambuliaji kuinua haki zake kutoka kwa mtumiaji asiye na mtu hadi kwa mtumiaji wa rdsys, ikiwa angeweza kufikia seva na uwezo wa kuandika kwenye saraka kwa muda. mafaili. Kutumia uwezekano wa kuathiriwa kunahusisha kubadilisha faili inayoweza kutekelezeka iliyoko kwenye saraka ya /tmp. Kupata haki za mtumiaji wa rdsys huruhusu mshambulizi kufanya mabadiliko kwa faili zinazotekelezeka zilizozinduliwa kupitia rdsys.
Athari za ukali wa chini zilitokana hasa na matumizi ya vitegemezi vilivyopitwa na wakati ambavyo vina udhaifu unaojulikana au uwezekano wa kunyimwa huduma. Athari ndogo katika Kivinjari cha Tor ni pamoja na uwezo wa kukwepa JavaScript wakati kiwango cha usalama kimewekwa katika kiwango cha juu zaidi, ukosefu wa vizuizi vya upakuaji wa faili, na uwezekano wa uvujaji wa habari kupitia ukurasa wa nyumbani wa mtumiaji, kuruhusu watumiaji kufuatiliwa kati ya kuwasha upya.
Kwa sasa, udhaifu wote umerekebishwa; miongoni mwa mambo mengine, uthibitishaji umetekelezwa kwa vidhibiti vyote vya rdsys na ukaguzi wa orodha zilizopakiwa kwenye Kivinjari cha Tor kwa saini ya dijiti umeongezwa.
Zaidi ya hayo, tunaweza kutambua kutolewa kwa Tor Browser 13.0.1. Toleo hili limesawazishwa na Firefox 115.4.0 ESR codebase, ambayo hurekebisha udhaifu 19 (13 inachukuliwa kuwa hatari). Marekebisho ya kuathiriwa kutoka kwa tawi la Firefox 13.0.1 yamehamishiwa kwenye Tor Browser 119 kwa Android.
Chanzo: opennet.ru