是不是 0day 漏洞？ 利用它能在 Tor 浏览器中执行任意 JavaScript 代码

翻译：360代码卫士团队

利用代码收购公司 Zerodium 披露了一个可用于在 Tor 浏览器中执行任意 JavaScript 代码的 NoScript 漏洞，即使使用最大安全级别也不例外。

Zerodium 公司披露了该漏洞并在本周一的一条推文中提到如何复现。最新的发布的浏览器版本 Tor Browser 8 并不受影响。

虽然这条推文认为该漏洞是 Tor 浏览器中存在的一个漏洞或后门，但该漏洞实际上影响的是 NoScript。它是一个流行的火狐扩展，仅允许 JavaScript、Java 和 Flash 插件在受信任网站上执行，保护用户免受恶意脚本的干扰。Tor 浏览器基于火狐浏览器，因此默认包含 NoScript。当用户将 NoScript 的安全级别选为“最安全 (Safest)”配置为拦截所有的 JavaScript 时，该漏洞就会起作用。

NoScript 的创建者意大利开发人员 Giorgio Maone 在版本5.1.8.7 发布两小时左右之后修复了该漏洞。他表示，只有NoScript 5 的“Classic”版本受影响。他解释称该问题存在于“NoScript 拦截浏览器内 JSON 查看器的应变措施”中。他还指出，该漏洞始于2017年5月发布的 NoScript 5.0.4。

Tor 项目组的代表人员强调称，它并非存在于 Tor 浏览器中的 0day 漏洞，它无法规避其隐私保护措施。要绕过 Tor，还是需要一个真正的浏览器利用代码。

Zerodium 公司的首席执行官 Chaouki Bekrar 指出，这个利用代码基本上规避了 NoScript 提供的保护措施，即使 Tor 浏览器被设置为“最安全”的安全级别也不例外。他解释称，即使设置为“最安全”级别，该利用代码也允许网站或隐藏服务绕过所有的 NoScript 限制条件并执行任意 JavaScript 代码。

Bekrar 指出，Zerodium 公司“在很多个月之前”就收购了这个漏洞，并跟其政府客户进行了分享。他声称公司已收购了“高端的 Tor 利用代码”。公司客户已利用这些利用代码“对抗犯罪活动和虐童行为，让世界变得更美好更安全”。

当问到是否担心这个漏洞或被用于恶意目的时，Bekrar 强调称最新的 Tor Brower 8 并不受影响，他强烈建议用户更新至最新版本。

原文链接

https://www.securityweek.com/zerodium-discloses-flaw-allows-code-execution-tor-browser

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。