匿名 Tor 網路的開發人員發布了對 Tor 瀏覽器以及該專案開發的 OONI Probe、rdsys、BridgeDB 和 Conjure 工具的審計結果,這些工具用於繞過審查制度。 此次審核由Cure53於2022年2023月至XNUMX年XNUMX月進行。
審計期間,共發現9個漏洞,其中6個為危險漏洞,10個為中危險漏洞,XNUMX個為輕微危險漏洞。 此外,在程式碼庫中,還發現了 XNUMX 個被歸類為與安全性無關的缺陷的問題。 一般來說,Tor 專案的程式碼符合安全程式設計實務。
第一個危險漏洞存在於 rdsys 分散式系統的後端,該系統確保將代理清單和下載連結等資源傳遞給受審查的使用者。 該漏洞是由於存取資源註冊處理程序時缺乏身份驗證造成的,並允許攻擊者註冊自己的惡意資源以交付給用戶。 操作歸結為向 rdsys 處理程序發送 HTTP 請求。
第二個危險漏洞是在 Tor 瀏覽器中發現的,是由於透過 rdsys 和 BridgeDB 檢索橋接節點清單時缺乏數位簽章驗證所造成的。 由於該清單是在連接到匿名 Tor 網路之前的階段加載到瀏覽器中的,因此缺乏加密數位簽章的驗證使得攻擊者可以透過攔截連接或駭客攻擊伺服器等方式替換清單的內容透過它來分發清單。 如果攻擊成功,攻擊者可以安排使用者透過自己受損的橋接節點進行連接。
組件部署腳本中的 rdsys 子系統中存在中度嚴重漏洞,如果攻擊者有權存取伺服器並能夠使用臨時檔案寫入目錄,則該漏洞允許攻擊者將其權限從無人使用者提升到 rdsys 使用者。文件。 利用該漏洞涉及替換位於 /tmp 目錄中的可執行檔。 取得 rdsys 使用者權限允許攻擊者更改透過 rdsys 啟動的可執行檔。
低嚴重性漏洞主要是由於使用了包含已知漏洞或潛在拒絕服務的過時依賴項所造成的。 Tor 瀏覽器中的小漏洞包括當安全級別設置為最高級別時能夠繞過 JavaScript、對文件下載缺乏限制以及通過用戶主頁可能洩露信息,從而允許在重新啟動之間跟踪用戶。
目前,所有漏洞均已修復;除其他外,已對所有 rdsys 處理程序實施身份驗證,並添加了透過數位簽章檢查載入到 Tor 瀏覽器中的清單的功能。
此外,我們還可以注意到 Tor 瀏覽器 13.0.1 的發布。 該版本與 Firefox 115.4.0 ESR 程式碼庫同步,修復了 19 個漏洞(其中 13 個被認為是危險漏洞)。 Firefox 分支 13.0.1 的漏洞修復已轉移到 Android 版 Tor 瀏覽器 119。
來源: opennet.ru