Zerodium公布Tor浏览器0 day代码执行漏洞

ang010ela 漏洞 2018年9月13日发布
Favorite收藏

导语:专门购买漏洞的安全经纪公司Zerodium在Twitter公布了Tor Browser的一个0 day漏洞。该漏洞能绕过Tor/NoScript最高安全级别的保护,允许恶意代码在浏览器上运行。

专门购买漏洞的安全经纪公司Zerodium在Twitter公布了Tor Browser的一个0 day漏洞。该漏洞能绕过Tor/NoScript最高安全级别的保护,允许恶意代码在浏览器上运行。漏洞影响Tor Browser 7.x,但不影响最新发布的Tor Browser 8.0。

图片.png

Tweet文中描述了Tor浏览器的漏洞(后门),其实该漏洞影响的是NoScript,一个只允许JavaScript、Java、Flash插件在可信站点上执行的非常流行的Firefox扩展,NoScript扩展可以保护用户免受恶意脚本的攻击。而Tor浏览器是基于Firefox的,而且默认包含了NoScript。

NoScript的开发者Giorgio Maone在5.1.8.7版本发布2小时就修复了该漏洞,并称该漏洞只影响NoScript 5的classic分支。Maone解释说该bug存在于拦截浏览器内JSON viewer的NoScript。该漏洞从NoScript 5.0.4 2017年5月发布就一直存在了。

Tor Project强调这不是Tor的0 day漏洞,这只是可以绕过NoScript隐私保护的NoScript的bug。

Zerodium CEO Chaouki Bekrar表示,该漏洞可以绕过NoScript提供的安全保护,即使Tor浏览器被设定为最高安全等级(“Safest” security level),利用该漏洞可以执行任意的JS代码。而且Zerodium几个月前获得了该漏洞,并已经与政府客户分享该漏洞情报。

图片.png

Tor浏览器项目说Zerodium在Twitter上公布该漏洞是非常不负责任的,而Zerodium反驳了这一观点,称他们决定披露该漏洞是因为最新发布的Tor Browser 8.0 不受影响,它的生命期已经结束。漏洞本身不会暴露数据,需要与其它漏洞利用方法组合使用。

本文翻译自:https://www.securityweek.com/zerodium-discloses-flaw-allows-code-execution-tor-browser如若转载,请注明原文地址: http://www.4hou.com/vulnerable/13538.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论