查看原文
其他

是不是 0day 漏洞? 利用它能在 Tor 浏览器中执行任意 JavaScript 代码

Eduard Kovacs 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

利用代码收购公司 Zerodium 披露了一个可用于在 Tor 浏览器中执行任意 JavaScript 代码的 NoScript 漏洞,即使使用最大安全级别也不例外。

Zerodium 公司披露了该漏洞并在本周一的一条推文中提到如何复现。最新的发布的浏览器版本 Tor Browser 8 并不受影响。

虽然这条推文认为该漏洞是 Tor 浏览器中存在的一个漏洞或后门,但该漏洞实际上影响的是 NoScript。它是一个流行的火狐扩展,仅允许 JavaScript、Java 和 Flash 插件在受信任网站上执行,保护用户免受恶意脚本的干扰。Tor 浏览器基于火狐浏览器,因此默认包含 NoScript。当用户将 NoScript 的安全级别选为“最安全 (Safest)”配置为拦截所有的 JavaScript 时,该漏洞就会起作用。

NoScript 的创建者意大利开发人员 Giorgio Maone 在版本5.1.8.7 发布两小时左右之后修复了该漏洞。他表示,只有NoScript 5 的“Classic”版本受影响。他解释称该问题存在于“NoScript 拦截浏览器内 JSON 查看器的应变措施”中。他还指出,该漏洞始于2017年5月发布的 NoScript 5.0.4。

Tor 项目组的代表人员强调称,它并非存在于 Tor 浏览器中的 0day 漏洞,它无法规避其隐私保护措施。要绕过 Tor,还是需要一个真正的浏览器利用代码。

Zerodium 公司的首席执行官 Chaouki Bekrar 指出,这个利用代码基本上规避了 NoScript 提供的保护措施,即使 Tor 浏览器被设置为“最安全”的安全级别也不例外。他解释称,即使设置为“最安全”级别,该利用代码也允许网站或隐藏服务绕过所有的 NoScript 限制条件并执行任意 JavaScript 代码。

Bekrar 指出,Zerodium 公司“在很多个月之前”就收购了这个漏洞,并跟其政府客户进行了分享。他声称公司已收购了“高端的 Tor 利用代码”。公司客户已利用这些利用代码“对抗犯罪活动和虐童行为,让世界变得更美好更安全”。

当问到是否担心这个漏洞或被用于恶意目的时,Bekrar 强调称最新的 Tor Brower 8 并不受影响,他强烈建议用户更新至最新版本。




关联阅读

SSL 证书暴露Tor 站点的公共 IP 地址


原文链接

https://www.securityweek.com/zerodium-discloses-flaw-allows-code-execution-tor-browser



本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存