匿名 Tor 网络的开发人员发布了对 Tor 浏览器以及该项目开发的 OONI Probe、rdsys、BridgeDB 和 Conjure 工具的审计结果,这些工具用于绕过审查制度。 此次审核由Cure53于2022年2023月至XNUMX年XNUMX月进行。
审计期间,共发现9个漏洞,其中6个为危险漏洞,10个为中危险漏洞,XNUMX个为轻微危险漏洞。 此外,在代码库中,还发现了 XNUMX 个被归类为与安全无关的缺陷的问题。 一般来说,Tor 项目的代码符合安全编程实践。
第一个危险漏洞存在于 rdsys 分布式系统的后端,该系统确保将代理列表和下载链接等资源传递给受审查的用户。 该漏洞是由于访问资源注册处理程序时缺乏身份验证造成的,并允许攻击者注册自己的恶意资源以交付给用户。 操作归结为向 rdsys 处理程序发送 HTTP 请求。
第二个危险漏洞是在 Tor 浏览器中发现的,是由于通过 rdsys 和 BridgeDB 检索桥接节点列表时缺乏数字签名验证造成的。 由于该列表是在连接到匿名 Tor 网络之前的阶段加载到浏览器中的,因此缺乏加密数字签名的验证使得攻击者可以通过拦截连接或黑客攻击服务器等方式替换列表的内容通过它来分发列表。 如果攻击成功,攻击者可以安排用户通过自己受损的桥接节点进行连接。
程序集部署脚本中的 rdsys 子系统中存在中度严重漏洞,如果攻击者有权访问服务器并能够使用临时文件写入目录,则该漏洞允许攻击者将其权限从无人用户提升到 rdsys 用户。文件。 利用该漏洞涉及替换位于 /tmp 目录中的可执行文件。 获得 rdsys 用户权限允许攻击者更改通过 rdsys 启动的可执行文件。
低严重性漏洞主要是由于使用了包含已知漏洞或潜在拒绝服务的过时依赖项造成的。 Tor 浏览器中的小漏洞包括当安全级别设置为最高级别时能够绕过 JavaScript、对文件下载缺乏限制以及通过用户主页可能泄露信息,从而允许在重新启动之间跟踪用户。
目前,所有漏洞均已修复;除其他外,已对所有 rdsys 处理程序实施身份验证,并添加了通过数字签名检查加载到 Tor 浏览器中的列表的功能。
此外,我们还可以注意到 Tor 浏览器 13.0.1 的发布。 该版本与 Firefox 115.4.0 ESR 代码库同步,修复了 19 个漏洞(其中 13 个被认为是危险漏洞)。 Firefox 分支 13.0.1 的漏洞修复已转移到 Android 版 Tor 浏览器 119。
来源: opennet.ru