آسیب پذیری

آسیب پذیری روز صفر مرورگر Tor منتشر شد

شرکت Zerodium، در اوایل سال جاری یک‌میلیون دلار برای ارسال یک اکسپلویت روز صفر در مرورگر Tor پیشنهاد کرده است. در روزهای گذشته، این شرکت در حساب توییتر خود یک آسیب‌پذیری روز صفر در افزونه NoScript که به‌صورت پیش‌فرض در مرورگر Tor نصب می‌شود را به اشتراک گذاشته است. NoScript یک افزونه مرورگر رایگان است که به‌طور پیش‌فرض عملیات مخرب جاوا اسکریپت، جاوا، فلش و دیگر محتوای بالقوه خطرناک را بر روی تمام صفحات وبی که کاربر مشخص نکرده است مسدود می‌کند.

در این آسیب‌پذیری، تدابیر امنیتی تعیین‌شده در نسخه‌های ۵.۰.۴ تا ۵.۱.۸.۶ از NoScript که بر روی حالت امن تنظیم‌شده دور زده می‌شود. پس از دور زدن این تدابیر هر فایل جاوا اسکریپت با تغییر نوع محتوای هدر به فرمت JSON، در سمت کاربر می‌تواند اجرا شود. به‌عبارت‌دیگر، یک وب‌سایت می‌تواند از این آسیب‌پذیری برای اجرای کدهای جاوا اسکریپت مخرب خود در مرورگر Tor قربانیان به سوءاستفاده کند. لازم به ذکر است که آخرین نسخه مرورگر Tor، یعنی Tor 8.0، در مقابل این آسیب‌پذیری مقاوم است، زیرا پلاگین NoScript، برای نسخه جدید Firefox (Quantum)، بر اساس یک فرمت API متفاوت، طراحی‌شده است. بنابراین، به کاربران Tor 7.x توصیه می‌شود تا بلافاصله مرورگر خود را به آخرین نسخه Tor به‌روزرسانی کنند.

آسیب پذیری روز صفر مرورگر Tor منتشر شد
To Top