Súlyos Tor Browser 7.x sebezhetőség-leírást (+ PoC) publikált a Zerodium

 ( trey | 2018. szeptember 11., kedd - 10:13 )

Érdemes mielőbb frissíteni a nemrég kiadott 8.x verzióra.

Demó:

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Miért? Valakinek is eszébe juhat "NoScript", UMátrix, Scripsafe, v. hasonló blokkerek nélkül böngészőt használni? (Még ha Tor is.) Ez olyan, mint egy bejárati ajtón a biztonsági zár. Az sem baj ha több van belőlük. Manapság már nélkülözhetetlen kellék. (Másrészt, én már egy ideje azon is gondolkodom, ahogyan "fejlődnek" a böngésző protokollok, - és inkább előbb, mint utóbb, - de már a korrekt VPN is nélkülözhetetlen böngészési kellékké avanzsált.)

"full bypass of Tor / NoScript 'Safest' security level"

--
trey @ gépház

Gondolom, a blokkerek fejlesztői nem ülnek a babérjaikon... - Van egy tesztoldal, ahol a böngészőt ki lehet próbálni?

(Csak, mert az ilyen "hole"-kat nyilván szándékosan hagyják a Tor-ban, "minden eshetőségre". Azaz, már van más megoldás a 8-asra is, csak még nem fedezték fel.)

Az megvan, hogy ez a bug pont a noscript pluginban van? ;)

Csak azért Tor browser related, mert abban default telepítve van...

--
zrubi.hu

hm, ez alapján inkább noscript-hez kapcsolódik, amit például a tor browser is használ. ha nálam van telepítve noscript, de nem tor browsert használok, simán átugrom.


"I'd rather be hated for who I am, than loved for who I am not."

https://twitter.com/ma1/status/1039149424767893504

"Notice: is a NoScript 5 "Classic" only bug: it doesn't affect neither NoScript 10 "Quantum" nor the Tor Browser 8. I'm testing a patch right in this moment. /cc @torproject"

https://noscript.net/getit#classic

--
trey @ gépház

Főként, hogy mondjátok is.., - világos, de soha nem hittem, hogy egy blokkerrel ki lehet védeni minden lefutó scriptet. Erre próbáltam utalni.

sajnos eleg sok oldal van ami meg se nyikkan JS nelkul. ha te nem nezel ilyen akkor szerencsed van.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ezt írd meg Parcinak, a prohardver tulajának.

És vajon a "text/html;/json"-t mi futtatja le? A HTML specifikáció ezt adja meg?

A bug futtatja le.

--
openSUSE - KDE user