அநாமதேய டோர் நெட்வொர்க்கின் டெவலப்பர்கள், தணிக்கையைத் தவிர்க்கப் பயன்படுத்தப்படும் திட்டத்தால் உருவாக்கப்பட்ட Tor உலாவி மற்றும் OONI ஆய்வு, rdsys, BridgeDB மற்றும் Conjure கருவிகளின் தணிக்கை முடிவுகளை வெளியிட்டுள்ளனர். நவம்பர் 53 முதல் ஏப்ரல் 2022 வரை Cure2023 ஆல் தணிக்கை நடத்தப்பட்டது.
தணிக்கையின் போது, 9 பாதிப்புகள் அடையாளம் காணப்பட்டன, அவற்றில் இரண்டு ஆபத்தானவை என வகைப்படுத்தப்பட்டன, ஒன்று நடுத்தர அளவிலான ஆபத்துக்கு ஒதுக்கப்பட்டது, மற்றும் 6 சிறிய அளவிலான ஆபத்துடன் கூடிய சிக்கல்கள் என வகைப்படுத்தப்பட்டன. குறியீடு அடிப்படையிலும், பாதுகாப்பு அல்லாத குறைபாடுகள் என வகைப்படுத்தப்பட்ட 10 சிக்கல்கள் கண்டறியப்பட்டன. பொதுவாக, டோர் திட்டத்தின் குறியீடு பாதுகாப்பான நிரலாக்க நடைமுறைகளுக்கு இணங்குவதாகக் குறிப்பிடப்படுகிறது.
முதல் ஆபத்தான பாதிப்பு rdsys விநியோகிக்கப்பட்ட அமைப்பின் பின்தளத்தில் இருந்தது, இது தணிக்கை செய்யப்பட்ட பயனர்களுக்கு ப்ராக்ஸி பட்டியல்கள் மற்றும் பதிவிறக்க இணைப்புகள் போன்ற ஆதாரங்களை வழங்குவதை உறுதி செய்கிறது. ஆதாரப் பதிவு ஹேண்ட்லரை அணுகும் போது அங்கீகரிப்பு இல்லாமையால் பாதிப்பு ஏற்படுகிறது மற்றும் பயனர்களுக்கு வழங்குவதற்காக தாக்குபவர் தனது சொந்த தீங்கிழைக்கும் ஆதாரத்தை பதிவு செய்ய அனுமதித்தார். rdsys கையாளுபவருக்கு HTTP கோரிக்கையை அனுப்புவதற்கு செயல்பாடு கொதித்தது.
இரண்டாவது ஆபத்தான பாதிப்பு Tor உலாவியில் கண்டறியப்பட்டது மற்றும் rdsys மற்றும் BridgeDB வழியாக பிரிட்ஜ் நோட்களின் பட்டியலை மீட்டெடுக்கும் போது டிஜிட்டல் கையொப்ப சரிபார்ப்பு இல்லாததால் ஏற்பட்டது. அநாமதேய டோர் நெட்வொர்க்குடன் இணைவதற்கு முன், பட்டியலானது உலாவியில் ஏற்றப்பட்டதால், கிரிப்டோகிராஃபிக் டிஜிட்டல் கையொப்பத்தின் சரிபார்ப்பு இல்லாததால், தாக்குபவர் பட்டியலின் உள்ளடக்கங்களை மாற்றுவதற்கு அனுமதித்தது, எடுத்துக்காட்டாக, இணைப்பை இடைமறித்து அல்லது சேவையகத்தை ஹேக் செய்வதன் மூலம் அதன் மூலம் பட்டியல் விநியோகிக்கப்படுகிறது. வெற்றிகரமான தாக்குதலின் போது, தாக்குபவர் பயனர்கள் தங்கள் சொந்த சமரசம் செய்யப்பட்ட பிரிட்ஜ் நோட் மூலம் இணைக்க ஏற்பாடு செய்யலாம்.
அசெம்பிளி வரிசைப்படுத்தல் ஸ்கிரிப்டில் உள்ள rdsys துணை அமைப்பில் ஒரு நடுத்தர-தீவிர பாதிப்பு இருந்தது மற்றும் ஒரு தாக்குபவர் தனது சலுகைகளை யாரும் பயனரிடமிருந்து rdsys பயனருக்கு உயர்த்த அனுமதித்தார், அவருக்கு சேவையகத்திற்கான அணுகல் மற்றும் தற்காலிகமாக கோப்பகத்திற்கு எழுதும் திறன் இருந்தால். கோப்புகள். பாதிப்பைப் பயன்படுத்திக் கொள்வது /tmp கோப்பகத்தில் உள்ள இயங்கக்கூடிய கோப்பை மாற்றுவதாகும். rdsys பயனர் உரிமைகளைப் பெறுவது தாக்குபவர் rdsys மூலம் தொடங்கப்பட்ட இயங்கக்கூடிய கோப்புகளில் மாற்றங்களைச் செய்ய அனுமதிக்கிறது.
அறியப்பட்ட பாதிப்புகள் அல்லது சேவை மறுப்புக்கான சாத்தியக்கூறுகளைக் கொண்ட காலாவதியான சார்புகளின் பயன்பாடு காரணமாக குறைந்த-தீவிர பாதிப்புகள் முதன்மையாக இருந்தன. Tor உலாவியில் உள்ள சிறிய பாதிப்புகள், பாதுகாப்பு நிலை உயர்ந்த நிலைக்கு அமைக்கப்படும் போது JavaScript ஐத் தவிர்க்கும் திறன், கோப்பு பதிவிறக்கங்களில் கட்டுப்பாடுகள் இல்லாதது மற்றும் பயனரின் முகப்புப் பக்கத்தின் மூலம் தகவல் கசிவு ஆகியவை அடங்கும்.
தற்போது, அனைத்து பாதிப்புகளும் சரி செய்யப்பட்டுள்ளன; மற்றவற்றுடன், அனைத்து rdsys கையாளுபவர்களுக்கும் அங்கீகாரம் செயல்படுத்தப்பட்டுள்ளது மற்றும் டிஜிட்டல் கையொப்பம் மூலம் டோர் உலாவியில் ஏற்றப்பட்ட பட்டியல்களின் சரிபார்ப்பு சேர்க்கப்பட்டுள்ளது.
கூடுதலாக, டோர் உலாவி 13.0.1 வெளியீட்டை நாம் கவனிக்கலாம். இந்த வெளியீடு Firefox 115.4.0 ESR கோட்பேஸுடன் ஒத்திசைக்கப்பட்டுள்ளது, இது 19 பாதிப்புகளை சரிசெய்கிறது (13 ஆபத்தானதாக கருதப்படுகிறது). பயர்பாக்ஸ் கிளை 13.0.1 இலிருந்து பாதிப்புத் திருத்தங்கள் ஆண்ட்ராய்டுக்கான டோர் பிரவுசர் 119க்கு மாற்றப்பட்டுள்ளன.
ஆதாரம்: opennet.ru