Zerodium披露用於暗網的Tor瀏覽器漏洞
Zerodium公司上週披露了一個NoScript漏洞,即使使用最高安全級別,也可利用該漏洞在Tor瀏覽器中執行任意JavaScript程式碼。
Zerodium在Twitter上提供了有關如何複製該漏洞的說明。不過新發布的Tor Browser 8不受影響。
雖然Zerodium將此問題描述為Tor瀏覽器中的漏洞或後門,但該缺陷實際上影響了NoScript,這是一種流行的Firefox擴充套件,旨在通過允許JavaScript、Java和Flash外掛在受信任的網站上執行來保護使用者免受惡意指令碼的侵害。
而Tor瀏覽器基於Firefox,預設情況下包含NoScript。
建立NoScript的義大利開發人員Giorgio Maone在釋出5.1.8.7版本的大約兩個小時內修補了該漏洞。Maone指出,只有NoScript 5的“Classic”分支受到影響。
開發人員解釋說,由於“NoScript阻止瀏覽器內JSON檢視器的解決方法”,該錯誤仍然存在。他還指出,該漏洞是在2017年5月隨著NoScript 5.0.4的釋出而引入的。
Tor專案代表也強調,這不是Tor瀏覽器零日漏洞。
“這是NoScript中的一個錯誤,而不是Tor瀏覽器的。”
Zerodium的執行長Chaouki Bekrar表示,即使Tor瀏覽器設定為“最安全”的安全級別,該漏洞依然可以繞過NoScript提供的保護。
“如果使用者將其Tor瀏覽器安全級別設定為'最安全'以阻止來自所有網站的JavaScript(例如,防止瀏覽器漏洞利用或資料收集),該漏洞將允許網站或隱藏服務繞過所有NoScript限制並執行任何JavaScript。儘管使用了最高安全級別的程式碼,但它完全無效,”Bekrar解釋道。
Zerodium是一家收購零日漏洞的土豪公司,蘋果的漏洞、微軟的漏洞、微信的漏洞等等,開出的價碼經常是100萬美元級別。
用於暗網的“高階Tor瀏覽器漏洞”也在Zerodium公司的高價收購列表中,據說是為了zhengfu客戶。
其聲稱將利用這些漏洞來“打擊犯罪和虐待兒童,並創造一個更好、更安全的網路世界。”
當被問及是否擔心漏洞可能被惡意利用時,Zelodium表示已經披露了這一漏洞,並強調Tor Browser的第8版沒有受到影響,強烈建議使用者升級到最新版本。