Tor 工具包的修正版本(0.3.5.10、0.4.1.9、0.4.2.7、0.4.3.3-alpha),用於組織匿名 Tor 網路的工作。 新版本修復了兩個漏洞:
- - 任何攻擊者都可以利用它來發動對中繼的拒絕服務。 這種攻擊還可以透過 Tor 目錄伺服器來攻擊客戶端和隱藏服務。 攻擊者可以創造條件,導致 CPU 負載過高,從而中斷正常運作數秒或幾分鐘(透過重複攻擊,DoS 可以延長很長時間)。 該問題從 0.2.1.5-alpha 版本開始出現。
- - 當電路填充對同一鏈進行雙重匹配時,會發生遠端啟動的記憶體洩漏。
還可以注意到,在 附加元件中的漏洞仍未修復 ,它允許您在最安全的保護模式下運行 JavaScript 程式碼。 對於那些認為禁止執行 JavaScript 很重要的人,建議透過更改 about:config 中的 javascript.enabled 參數來暫時停用 about:config 中瀏覽器中的 JavaScript 使用。
他們試圖消除這個缺陷 ,但事實證明,所提出的修復方案並沒有完全解決問題。 從下一個發布版本的變化來看 ,問題也沒有解決。 Tor 瀏覽器包含自動 NoScript 更新,因此一旦修復可用,它將自動交付。
來源: opennet.ru