Awọn olupilẹṣẹ ti nẹtiwọọki Tor ailorukọ ti ṣe atẹjade awọn abajade iṣayẹwo ti Tor Browser ati OONI Probe, rdsys, BridgeDB ati awọn irinṣẹ Conjure ti o dagbasoke nipasẹ iṣẹ akanṣe, ti a lo lati fori ihamon. Ayẹwo naa jẹ adaṣe nipasẹ Cure53 lati Oṣu kọkanla ọdun 2022 si Oṣu Kẹrin Ọjọ 2023.
Lakoko iṣayẹwo, awọn ailagbara 9 ni a ṣe idanimọ, meji ninu eyiti a pin si bi eewu, ọkan ti sọtọ ipele alabọde ti ewu, ati pe 6 ni ipin bi awọn iṣoro pẹlu ipele kekere ti ewu. Paapaa ni ipilẹ koodu, awọn iṣoro 10 ni a rii ti a pin si bi awọn abawọn ti kii ṣe aabo. Ni gbogbogbo, koodu Tor Project jẹ akiyesi lati ni ibamu pẹlu awọn iṣe siseto to ni aabo.
Ailagbara akọkọ ti o lewu wa ni ẹhin ti eto pinpin rdsys, eyiti o ṣe idaniloju ifijiṣẹ awọn orisun bii awọn atokọ aṣoju ati awọn ọna asopọ igbasilẹ si awọn olumulo ti a ṣe akiyesi. Ailagbara naa jẹ idi nipasẹ aini ijẹrisi nigbati o n wọle si olutọju iforukọsilẹ awọn orisun ati gba laaye ikọlu lati forukọsilẹ awọn orisun irira tiwọn fun ifijiṣẹ si awọn olumulo. Iṣiṣẹ ṣan silẹ lati firanṣẹ ibeere HTTP kan si olutọju rdsys.
Ailagbara elewu keji ni a rii ni Tor Browser ati pe o ṣẹlẹ nipasẹ aini ijẹrisi ibuwọlu oni nọmba nigbati o n gba atokọ ti awọn apa afara pada nipasẹ rdsys ati BridgeDB. Niwọn igba ti a ti kojọpọ atokọ naa sinu ẹrọ aṣawakiri ni ipele ṣaaju ki o to sopọ si nẹtiwọọki Tor ailorukọ, aini ijẹrisi ti ibuwọlu oni nọmba cryptographic jẹ ki ikọlu kan rọpo awọn akoonu inu atokọ naa, fun apẹẹrẹ, nipa didi asopọ tabi jija olupin naa. nipasẹ eyi ti awọn akojọ ti wa ni pin. Ni iṣẹlẹ ikọlu aṣeyọri, ikọlu le ṣeto fun awọn olumulo lati sopọ nipasẹ ipade afara ti ara wọn.
Ailagbara alabọde kan wa ninu eto rdsys ni iwe afọwọkọ imuṣiṣẹ apejọ ati gba laaye ikọlu lati gbe awọn anfani rẹ ga lati ọdọ olumulo ko si ẹnikan si olumulo rdsys, ti o ba ni iwọle si olupin ati agbara lati kọ si itọsọna pẹlu igba diẹ. awọn faili. Lilo ailagbara naa pẹlu rirọpo faili ti o le ṣiṣẹ ti o wa ninu itọsọna / tmp. Gbigba awọn ẹtọ olumulo rdsys ngbanilaaye ikọlu lati ṣe awọn ayipada si awọn faili ṣiṣe ti a ṣe ifilọlẹ nipasẹ rdsys.
Awọn ailagbara-kekere jẹ nipataki nitori lilo awọn igbẹkẹle igba atijọ ti o ni awọn ailagbara ti a mọ ninu tabi agbara fun kiko iṣẹ. Awọn ailagbara kekere ninu Tor Browser pẹlu agbara lati fori JavaScript nigbati ipele aabo ti ṣeto si ipele ti o ga julọ, aini awọn ihamọ lori awọn igbasilẹ faili, ati jijo alaye ti o pọju nipasẹ oju-iwe ile olumulo, gbigba awọn olumulo laaye lati tọpinpin laarin awọn atunbere.
Lọwọlọwọ, gbogbo awọn ailagbara ti wa titi; ninu awọn ohun miiran, a ti ṣe imuse ijẹrisi fun gbogbo awọn olutọju rdsys ati ṣiṣayẹwo awọn atokọ ti a kojọpọ sinu Tor Browser nipasẹ ibuwọlu oni nọmba ti ṣafikun.
Ni afikun, a le ṣe akiyesi itusilẹ ti Tor Browser 13.0.1. Itusilẹ jẹ mimuuṣiṣẹpọ pẹlu Firefox 115.4.0 ESR codebase, eyiti o ṣe atunṣe awọn ailagbara 19 (13 ni a ka pe o lewu). Awọn atunṣe ailagbara lati ẹka Firefox 13.0.1 ti gbe lọ si Tor Browser 119 fun Android.
orisun: opennet.ru