Vulnerabilidade no Tor Browser é revelada via Twitter - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Vulnerabilidade no Tor Browser é revelada via Twitter

Tor Browser

UMAvulnerabilidade de dia zero para o navegador Tor foi revelada ontem no Twitter pela Zerodium - uma empresa que compra e vende exploits em software.
Zerodium publicou os detalhes da vulnerabilidade que estava presente na extensão do Firefox NoScript (embutida no navegador Tor), que impede que as páginas da web executem JavaScript, Flash ou Silverlight.
Advisory: Tor Browser 7.x has a serious vuln/bugdoor leading to full bypass of Tor / NoScript 'Safest' security level (supposed to block all JS).
PoC: Set the Content-Type of your html/js page to "text/html;/json" and enjoy full JS pwnage. Newly released Tor 8.x is Not affected.
Mesmo que o NoScript supostamente bloqueie todo o JavaScript em seu nível de segurança “mais seguro”, mas há um backdoor que pode ser explorado pelos atacantes para suprimir o NoScript e executar códigos maliciosos de qualquer maneira.
No entanto, este bug pode ser explorado apenas no Tor Browser 7.xe o Tor Browser 8.x lançado recentemente não é afetado por este bug.
A razão por trás disso é a mudança da base de código do Tor do antigo núcleo do Firefox para a nova plataforma Firefox Quantum. A nova API do complemento nela protege a versão 8 dessa vulnerabilidade.
Além do complemento NoScript foi reescrito no ano passado para torná-lo compatível com a nova plataforma Firefox Quantum. É por isso que o exploit de dia zero em questão não funciona na nova série Tor Browser 8.x.
Seguindo a revelação da Zerodim, a mais recente versão “Classic” 5.1.7 do NoScript foi lançada pela empresa para impedir o vetor de exploração do dia zero.

Fixed in 5.1.8.7 "Classic": https://noscript.net/getit#classic 

You may need to open about:config and set your xpinstall.signatures.required to false in order to install, since Mozilla doesn't support signing for "Classic" (legacy) add-ons anymore.
Enquanto isso, o Tor Project emitiu uma declaração oficial para o ZDNet :
“É um bug no NoScript e não um exploit de dia-zero do Tor Browser que contorna suas proteções de privacidade. Para contornar o Tor, uma exploração real do navegador ainda seria necessária ”.

No entanto, é aconselhável que os usuários do Tor instalem a atualização do NoScript ou alternem para o Tor Browser 8.x para melhor segurança.

Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search