Tor 工具包的修正版本(0.3.5.10、0.4.1.9、0.4.2.7、0.4.3.3-alpha),用于组织匿名 Tor 网络的工作。 新版本修复了两个漏洞:
- - 任何攻击者都可以利用它来发起对中继的拒绝服务。 这种攻击还可以通过 Tor 目录服务器来攻击客户端和隐藏服务。 攻击者可以创造条件,导致 CPU 负载过高,从而中断正常运行数秒或几分钟(通过重复攻击,DoS 可以延长很长时间)。 该问题从 0.2.1.5-alpha 版本开始出现。
- - 当电路填充对同一链进行双重匹配时,会发生远程启动的内存泄漏。
还可以注意到,在 附加组件中的漏洞仍未修复 ,它允许您在最安全的保护模式下运行 JavaScript 代码。 对于那些认为禁止执行 JavaScript 很重要的人,建议通过更改 about:config 中的 javascript.enabled 参数来暂时禁用 about:config 中浏览器中的 JavaScript 使用。
他们试图消除这个缺陷 ,但事实证明,所提出的修复方案并没有完全解决问题。 从下一个发布版本的变化来看 ,问题也没有解决。 Tor 浏览器包含自动 NoScript 更新,因此一旦修复可用,它将自动交付。
来源: opennet.ru