[ Zavřít ] 


 

RSS Kanál

 

Tor Browser záplatuje díru zneužívanou FBI KE STAŽENÍ ZDARMA

Tor Project akutně povýšil Tor Browser na verzi 6.0.5 především kvůli záplatě zranitelnosti Firefoxu, na kterém je Tor Browser postaven. Ta umožňovala prostřednictvím útoku typu man-in-the-middle podvrhnout falešné aktualizace doplňků prohlížeče, které se pak staly dírou do systému vystavenému útočnému kódu.

 

Zranitelnost Tor Browseru byla zapříčiněna jeho jádrem - Firefoxem

Chybu popisuje Selena Deckelmannová, bezpečnostní inženýrka Mozilly: „Firefox automaticky aktualizuje nainstalované doplňky prostřednictvím připojení HTTPS. Coby záložní opatření proti zneužití certifikátů k nim přidáváme certifikáty webu Mozilly, takže i když se útočníkovi podaří dostat neautorizovaný certifikát naší aktualizační stránky, není schopen zmanipulovat aktualizace jednotlivých doplňků. Kvůli procesním chybám se při aktualizaci politiky Preloaded Public Key Pinning ve všech vydáních Firefoxu stalo, že ve verzích Firefox 48 (od 10. září 2016) a Firefox ESR 45.3.0 (od 3. září) přestalo fungovat přidávání certifikátů webu Mozilly. V tomto čase tedy mohl útočník, který získal neoprávněný certifikát k webu Mozilly, podvrhnout kterémukoliv uživateli útočnou aktualizaci doplňků jeho browseru.“

Ten, kdo používá čistý Firefox bez doplňků, nebyl zranitelností ohrožen. To ale není případ Tor Browser. Ten totiž standardně využívá rozšíření, jako jsou NoScript, HTTPS Everywhere, Torbutton a Torlauncher, k vyššímu zabezpečení soukromí uživatele. Každý z těchto doplňků se tak mohl stát branou do uživatelova systému, přes kterou se dal vzdáleně spustit útočný kód. A ačkoliv splnění všech podmínek pro útok není snadnou záležitosti, „není zcela nedosažitelné pro mocné nepřátele, jakými jsou státy sponzorovaní hackeři,“ dodává Georg Koppen, vývojář Toru.

Nejen FBI - obdobným způsobem útočili podle Movrce i iránští hackeři

Bezpečnostní výzkumník Movrc, který se možnostmi zneužití této zranitelnosti zaobíral, odhaduje, že k uskutečněn útoku na HTTPS spojení mezi browsery a aktualizačními servery je třeba investice ve výši stovky tisíc dolarů. „Útok pak umožní spuštění útočného kódu v systému uživatele, který přistupuje ke specifickým zdrojům na otevřeném internetu - v kombinaci s určitými mechanismy zacílení takového uživatele, jakými jsou pasivní monitoring exit nodů Toru zaměřený právě na provoz směřující ke specifickým zdrojům otevřeného internetu, “ rozvíjí svá pozorování Movrc. „Navíc je možno zneužít tento útočný vektor masivně proti všem uživatelům Tor Browseru, a napadnout jen ty systémy, které splňují předem definovaná kritéria typu systémový jazyk, veřejná IP adresa, DNS cache, uložená cookies, určitá historie prohlížení webových stránek atd.“ 

Předpokládá se, že právě tímto způsobem postupovala FBI při identifikaci jedinců, kteří se pohybovali na webech s dětskou pornografií. Mozilla ostatně FBI zažalovala, aby úřad donutila poskytnout podrobné informace o zranitelnosti Firefoxu, kterou při své práci využíval. Soud to sice v podstatě neumožnil (lišácky nařídil FBI, aby dané informace poskytla obhajobě, ale zároveň nikomu, kdo by mohl zranitelnost opravit). Nyní se však komunita domnívá, že šlo právě o útok prostřednictvím podvržených doplňků.

Krom opravy zranitelnosti byl Tor Browser 6.0.5 povýšen na jádro Firefox 45.4.0esr, technologie Tor na verzi 0.2.8.7 a aktualizovány doplňky Torbutton a HTTPS-Everywhere.

Zdroje: The Tor BlogMozilla Security Blog, The Register, Hackernoon.com

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Software za pár korun? Často výhra jenom na první pohled

Na rozdíl třeba od značkového oblečení neoriginální software pouhým pohledem často nerozpoznáte. Nepříjemně překvapit vás ale může i dlouho potom, co jej poprvé rozbalíte. ...

Wedos čelil 300 Gbps DDoS

b/s (v anglické verzi bps) je jednotka přenosové rychlosti a znamená bit za sekundu. Kilobit je tisíc bitů, Megabit milión bitů. A gigabit miliarda bitů. Útok o objemech přes 300 miliard bitů za sekundu zamířil na služby a síťové prostředky Wedos, a stal se tak novým...

Hledat karty přidává Nedávno zavřené karty

Vývojáři Google Chrome si stále pohrávají s fičurkou Hledat karty, která nejen umožňuje hledat mezi otevřenými panely prohlížeče, ale také je svisle zobrazit jejich reprezentanty. Nově mezi zobrazené položky přidávají i kategorii Nedávno zavřené karty....

Mozilla uvolnila lokální překladač Bergamot

Mozilla už delší dobu vyvíjí pro Firefox lokální překladač Bergamot, na jehož práci se nepodílí žádné cloudové překladače, ani jiné online služby. Tento offline překladač už dostal rozšíření pro Firefox, dostupné na GitHubu a...


 
© 2005-2021 PS Media s.r.o. - digital world
 

reklama