的Tor浏览器有一个软件漏洞,政府特工可能会利用这个漏洞攻击毫无戒心的目标。
该漏洞处理的软件扩展名为NoScript(在新窗口打开)它随第7版一起推出。根据Zerodium公司的说法,浏览器的x在推特上(在新窗口打开)详情将于周一公布。顾名思义,NoScript扩展旨在阻止JavaScript、Flash和其他插件在不受信任的网站上运行。
然而,Zerodium了解到,当扩展设置为最高安全级别时,NoScript存在缺陷。这样做可以让通过Tor浏览器加载的网站利用扩展来运行任何Javascript代码。一名名为“x0rz”的安全研究人员上传了该漏洞的视频,称其很容易复制。
很容易复制Zerodium Tor浏览器7。x NoScript绕过漏洞https://t.co/k78ejoavWl(在新窗口打开)# TorBrowser(在新窗口打开)#脆弱性(在新窗口打开)pic.twitter.com/k1mUJZUo77(在新窗口打开)
- x0rz (@x0rz)2018年9月10日(在新窗口打开)
好消息是,上周发布的Tor浏览器8.0没有这个漏洞。你可以通过点击Tor浏览器窗口左上角的洋葱图标自动安装它。NoScript的开发人员也是如此打补丁的(在新窗口打开)的弱点。
尽管如此,该漏洞的披露表明,实际的受害者是被NoScript漏洞攻击的。Zerodium(在新窗口打开)是一家专门从安全研究人员那里购买以前不为人知的软件漏洞,然后卖给政府组织的公司。
Zerodium告诉(在新窗口打开)ZDNet表示,他们几个月前购买了Tor浏览器漏洞的详细信息,然后与该公司的政府客户分享。Zerodium补充说:“这个漏洞本身并不会泄露任何数据,因为它必须与其他漏洞相关联,但它绕过了Tor浏览器由NoScript组件提供的最重要的安全措施之一。”
该公司决定披露这一漏洞,因为它对Tor 8.0版毫无用处。不过,如果Zerodium还有其他针对浏览器的软件漏洞,也不要感到惊讶。去年是这样提供(在新窗口打开)高达25万美元,以获取与tors相关的漏洞细节。
“在我看来,如果Zerodium放弃这个漏洞作为免费广告,这真的意味着他们有更多的东西。可能也在最新的Tor浏览器8.0上。”在推特上(在新窗口打开)安全研究员x0rz。
到目前为止,Tor项目还没有对这一漏洞发表评论。该组织的浏览器在记者、活动人士和网络犯罪分子中很受欢迎,可以让你的在线浏览活动保持匿名。然而,该软件也不是不可攻击的。2015年,FBI抓住了(在新窗口打开)暗网上的一个儿童色情网站,然后用它向访问者传播间谍软件,其中许多人可能正在使用Tor。
更新:Tor Project告诉PCMag, NoScript漏洞“无法绕过”浏览器的隐私保护,但没有详细说明。
“世界各地都有有道德的工程师,他们总是试图破解Tor,这样我们就可以让它变得更好,所以这(NoScript漏洞)是一种罕见的情况。这符合所有Tor用户的最大利益,包括政府机构,通过我们自己的漏洞向我们披露任何漏洞错误(在新窗口打开)赏金(在新窗口打开)该组织说。