23 березня 2020 року Tor Project випустили оновлення Tor Browser до версії 9.0.7, що усуває проблеми безпеки у маршрутизаторі Tor, і значно змінює поведінку браузера при виборі найбільш безпечного (Safest) рівня налаштувань.
Найбільш безпечний рівень передбачає відключення JavaScript за промовчанням для всіх сайтів. Проте, через проблему в доповненні NoScript зараз це обмеження можна обійти. Як тимчасове рішення, розробники Tor Browser унеможливили роботу JavaScript при виборі найвищого рівня безпеки.
Це може зламати звичні методи роботи з Tor Browser для всіх користувачів, які включили найвищий режим безпеки, оскільки тепер неможливо дозволити використання JavaScript через налаштування NoScript.
Якщо вам необхідно повернути попередню поведінку браузера хоча б на якийсь час, то можна зробити це вручну, наступним чином:
- Відкрийте нову вкладку.
- Набрати в адресному рядку about:config та натиснути Enter.
- У рядок пошуку введіть адресний рядок: javascript.enabled
- Двічі клікнути на рядку, що залишився, поле «Значення» (Value) має змінитися з false на true
Вбудований маршрутизатор мережі Tor було оновлено до версії 0.4.2.7. У новій версії було виправлено такі недоліки:
- Усунена помилка (CVE-2020-10592), що дозволяла будь-якому реалізувати атаку DoS на ретранслятор або кореневий сервер директорій, викликаючи навантаження ЦПУ, або атаку з самих серверів директорій (не тільки кореневих), викликаючи навантаження ЦПУ звичайних користувачів мережі.
Цілеспрямоване навантаження ЦПУ могло бути очевидно використано для організації атак за часом, сприяючи деанонімізації користувачів або прихованих сервісів. - Усунена CVE-2020-10593, що дозволяла віддалено викликати витік пам'яті, що могло призвести до повторного використання застарілого ланцюжка
- Інші помилки та недоліки
Джерело: linux.org.ru