当前位置:澳门新葡亰亚洲在线 > 计算机前端 > 瑞星预警:上暗网也不安全 NoScript组件被曝漏洞

瑞星预警:上暗网也不安全 NoScript组件被曝漏洞

文章作者:计算机前端 上传时间:2019-01-16

  近日,国外漏洞供应商“Zerodium”披露了一个Tor浏览器漏洞,此漏洞会绕过Tor浏览器与低版本的火狐浏览器的安全机制,浏览器设置禁用脚本功能之后,仍然可以执行任意脚本,如果用户访问攻击者精心构造的网页,可能就会受到威胁。

  Tor浏览器(洋葱浏览器)是一款可以匿名上网的浏览器,用户通过Tor可以在互联网上进行匿名交流。Tor网络允许任何人,以完全匿名的形式浏览及访问互联网,且不受地域限制。除此之外,利用Tor网络我们还能到达自然搜索无法到达的网络空间(俗称的暗网)。

  NoScript组件是Tor浏览器与低版本火狐浏览器的的扩展插件,而此组件存在漏洞,漏洞通过绕过NoScript的脚本阻止功能,允许恶意代码在Tor浏览器中运行。

  NoScript 5.1.8.7 已修复此漏洞,若浏览器开启了拓展组件自动更新功能,NoScript已更新到最新版本了,可以避免此漏洞。

  瑞星安全专家提醒用户不需要恐慌,浏览器默认是允许运行JS脚本的,平常浏览网站炫酷的界面也非常依赖JS脚本,因此运行脚本并不意味着不安全。只不过这个漏洞是因为访问了攻击者构造的网页,即使浏览器使用NoScript组件禁用脚本,但脚本仍然可以运行。因此,不访问可疑网站可以很大程度避免这种攻击。对于Tor浏览器用户和使用了NoScript组件的火狐浏览器用户,可以单独更新此组件或者更新浏览器来修复此漏洞。

  Zerodium是一家购买和销售流行软件漏洞的公司,近日在Twitter上发布了有关Tor浏览器零日漏洞的详细信息,Tor浏览器是一款基于Firefox的浏览器,隐私意识较强的用户常通过Tor网络提供的匿名性来浏览网页。

  在一条推文中,Zerodium表示,该漏洞完全绕过了NoScript扩展的“最安全”安全级别,默认情况下包含在所有Tor浏览器发行版中。NoScript是一种浏览器扩展,它使用白名单方法让用户决定浏览器可以从哪些域执行JavaScript,Flash,Java或Silverlight内容。它包含在所有Tor Browser发行版中,因为它为Tor Browser用户提供了额外的安全层。

  Zerodium公布的Tor零日漏洞通过绕过NoScript的脚本阻止功能,基本上允许恶意代码在Tor浏览器中运行。根据Zerodium的说法,零日漏洞只影响Tor Browser 7.x系列。上周发布的Tor Browser 8.x分支机构不受影响。原因是Tor Browser 8.x系列将其底层代码库从较旧的Firefox核心切换到新的Firefox Quantum平台,该平台使用新的附加API。NoScript附加组件在去年年底被重写,以便在新的Firefox Quantum平台上运行,因此近日发布的零日漏洞不会影响新的Tor Browser 8.x系列。

  在接受媒体采访时,NoScript扩展的作者Giorgio Maone表示零日是由NoScript阻止Tor浏览器的浏览器内JSON查看器引起的。在成功复现该问题后,Maone已经更新NoScript插件,以减轻零日影响。

  在与媒体的电子邮件交流中,Zerodium首席执行官Chaouki Bekrar提供了近日公布的零日漏洞的详细信息。

  Bekrar告诉媒体:“我们在2017年12月推出了针对Tor浏览器的具体且有时间限制的漏洞奖励,我们已经收到并获得许多符合我们的要求的Tor浏览器漏洞。这个Tor浏览器漏洞被Zerodium在几个月前收购,并与我们的政府客户分享。我们已经决定披露这个漏洞,因为它已经到了生命周期的终点,它并没有影响上周发布的Tor Browser版本8.x我们还希望提高对主要组件缺乏(或不充分)安全审核的认识,这些组件默认情况下捆绑在Tor浏览器之中,并受到数百万用户的信任。”

  “漏洞本身并不会泄露任何数据,因为它必须链接到其他漏洞利用,但它绕过了NoScript组件提供的Tor Browser最重要的安全措施之一。如果用户将其Tor浏览器安全级别设置为最安全,旨在阻止来自所有网站的所有JavaScript,例如为了防止利用漏洞,则所披露的漏洞将允许网站或隐藏服务绕过所有NoScript限制并执行任何JavaScript代码, 最安全级别对浏览器漏洞利用毫无用处。”

转载请注明来源:瑞星预警:上暗网也不安全 NoScript组件被曝漏洞