Розробники анонімної мережі Tor опублікували результати аудиту браузера Tor Browser і інструментаріїв OONI Probe, rdsys, BridgeDB і Conjure, що розвиваються проектом інструментів, застосовуваних для обходу цензурування. Аудит проводився компанією Cure53 з листопада 2022 року до квітня 2023 року.
У ході перевірки було виявлено 9 уразливостей, дві з яких віднесено до категорії небезпечних, одній присвоєно середній рівень небезпеки, а 6 віднесено до проблем із незначним рівнем небезпеки. Також у кодовій базі було знайдено 10 проблем, віднесених до категорії не пов'язаних із безпекою недоробок. Загалом код проекту Tor відзначений як відповідний практик безпечного програмування.
Перша небезпечна вразливість була присутня в бекенді розподіленої системи rdsys, що забезпечує доставку ресурсів, що цінзуються користувачам, таких як списки проксі та посилання для завантаження. Вразливість викликана відсутністю аутентифікації при зверненні до оброблювача реєстрації ресурсів та дозволяла атакуючого зареєструвати власний шкідливий ресурс для доставки користувачам. Експлуатація зводиться до надсилання запиту HTTP до обробника rdsys.
Друга небезпечна вразливість знайдена Tor Browser і була викликана відсутністю перевірки цифрового підпису при отриманні списку мостових вузлів через rdsys і BridgeDB. Оскільки список завантажується в браузер на стадії до підключення до анонімної мережі Tor, відсутність перевірки криптографічного цифрового підпису дозволяло атакуючому підмінити вміст списку, наприклад, через перехоплення з'єднання або злом сервера, через який поширюється список. У разі успішної атаки зловмисник міг організувати підключення користувачів через власний скомпрометований вузол.
Вразливість середньої небезпеки була присутня в підсистемі rdsys у скрипті розгортання збірок і дозволяла атакуючому підняти свої привілеї з користувача nobody до користувача rdsys, за наявності доступу до сервера та можливості запису до каталогу з тимчасовими файлами. Експлуатація вразливості зводиться до заміни файлу, що розміщується в каталозі /tmp виконуваного. Отримання прав користувача rdsys дозволяє атакуючому внести зміни в файли, що запускаються через rdsys.
Вразливості низького ступеня небезпеки в основному були пов'язані з використанням застарілих залежностей, у яких були відомі вразливості, або з можливістю здійснення відмови в обслуговуванні. З незначних уразливостей у Tor Browser відзначається можливість обходу заборони виконання JavaScript при виставленні вищого рівня захисту, відсутність обмежень по завантаженню файлів і потенційний витік інформації через домашню сторінку користувача, що дозволяє відстежувати користувачів між перезапусками.
В даний час всі вразливості усунуті, серед іншого реалізовано автентифікацію для всіх обробників rdsys і додано перевірку списків, що завантажуються в Tor Browser, за цифровим підписом.
Додатково можна зазначити випуск браузера Tor Browser 13.0.1. Випуск синхронізований з кодовою базою Firefox 115.4.0 ESR, у якій усунено 19 уразливостей (13 визнано небезпечними). У версію Tor Browser 13.0.1 для Android перенесено виправлення вразливостей із гілки Firefox 119.
Джерело: opennet.ru