www.svethardware.cz
>
>
>
>

Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu

Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu
, , aktualita
Bezpečnostní výzkumník informoval o několika chybách, které obsahuje známý prohlížeč zaměřený na soukromí. Zatím zveřejnil podrobnosti o dvou z nich, ale objevil i tři další. Tor Project se totiž prý k opravě nemá, i když svou nečinnost vysvětlil.
K oblíbeným
reklama
Software pro anonymizaci Tor bývá považován za jeden z nejbezpečnějších způsobů přístupu k internetu, i když zcela „neprůstřelný“ v žádném případě není. Bezpečnostní výzkumník dr. Neal Krawetz, který sám provozuje několik uzlů v síti Tor, se zabezpečením tohoto softwaru zabývá dlouhodobě. V minulosti kritizoval neziskovou organizaci Tor Project kvůli chybějící možnosti snadného nahlášení chyb. Tento nedostatek měl být vyřešen v roce 2017, kdy vývojáři v reakci na kritiku změnili design webových stránek, aby usnadnili hlášení chyb. Kromě toho také spustili bug bounty program prostřednictvím platformy HackerOne, kde mohou uživatelé získat odměnu za objevené zranitelnosti.
 
 
Krawetz ovšem tvrdí, že na neschopnosti řešit nahlášené chyby se nic moc nezměnilo. A nedávno mu došla trpělivost kvůli dvěma letošním událostem. První byl masivní DDoS útok v únoru, kdy byl vážně zasaženy i Krawetzovy služby, ale díky rychlému zjištění příčiny se vývojáři povedlo dát vše rychle do pořádku. Zranitelnost proto nahlásil přes bug bounty program a na žádost organizace Tor Project poskytl velmi detailní popis problému. Po diskuzi plné technických detailů ovšem dostal od zástupce podpory překvapivou odpověď, že se v daném vlákně „začíná ztrácet“ a pokud nemá žádnou konkrétní chybu, za kterou by mohl dostat odměnu, nemohou mu jinak pomoci.
 
Již v roce 2017 se ovšem Krawetz snažil nahlásit jinou zranitelnost, ale kvůli tehdejší absenci rozhraní pro oznámení chyb se mu to ovšem nepodařilo. Ačkoliv problém ohlásil později přes platformu HackerOne, získal za její objevení odměnu a případ byl označen jako vyřešený, zranitelnost v softwaru zůstala. Podobných zážitků měl více, proto se letos v červnu rozhodl ukončil spolupráci s organizací Tor Project a zveřejnit podrobnosti na svém blogu. Zatím v příspěvcích popisuje dvojici zero-day chyb (tj. neopravených), které umožňují poskytovatelům internetového připojení nebo třeba zaměstnavatelům blokovat přístup k síti Tor, a to pomocí detekce odlišných paketů.
 
Zatímco první chyba se týká přímého spojení se sítí Tor, druhá umožňuje poznat i tzv. nepřímé spojení. Jedná se o postup, který je používán právě k oklamání ISP. Uživatel se totiž k síti Tor připojuje přes tzv. mosty, které fungují jako vstupní body, a jejich seznam se často mění, aby nebylo snadné přístup k nim zablokovat. Tyto chyby přitom mohou být zneužívány vládami v zemích s represivními režimy, kde je síť Tor zakázána (např. Čína, Saudská Arábie nebo Írán). Krawetz dodává, že v blízké době publikuje informace o třech dalších chybách. Jedna z nich, která umožňuje detekovat zmíněné mosty, byla objevena před minimálně osmi lety.
 
Zbylé dvě – jednu lze zneužít pro detekci operačního systému podle šířky posuvníku v prohlížeči a druhou k identifikaci knihovny SSL používané servery Tor – znají vývojáři přinejmenším od roku 2017. Tor se po publicitě rozhodl k chybám obsáhle vyjádřit a uvedl, že pro uživatele nepředstavují reálné riziko. Vývojáři ovšem prý dlouhodobě pracují na řešení.
 
Zdroj: Zdnet.com


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Samsung uvádí Odyssey Neo G9: herní hi-end LCD s Mini LED Samsung uvádí Odyssey Neo G9: herní hi-end LCD s Mini LED
Společnost Samsung si připravila monitorovou novinku v podobě Odyssey Neo G9, která na svém značně prohnutém 49" panelu nabídne rozlišení 5120 x 1440 s vysokou obnovovací frekvencí a podsvícením pomocí Mini LED. 
Dnes, aktualita, Jan Vítek
Intel už ulovil firmu Qualcomm na svůj proces 20A Intel už ulovil firmu Qualcomm na svůj proces 20A
Intel včera v noci už odhalil své plány na vývoj moderních výrobních procesů s tím, že se o své výrobní kapacity hodlá v rámci Intel Foundry podělit i s jinými firmami. Huawei to asi nebude, ale máme tu konkrétního zájemce o proces 20A. 
Dnes, aktualita, Jan Vítek1 komentář
AMD Navi 31 se rýsuje: 15360 jader a už bez Compute Unit? AMD Navi 31 se rýsuje: 15360 jader a už bez Compute Unit?
AMD Navi 31 je očekávaný nejlepší čip generace Navi 3, která se utká zřejmě s NVIDIA Ada Lovelace a mimo hru také stále není z našeho pohledu ani Hopper. Server 3DCenter nyní nabízí přehled fám z různých zdrojů, které se nedávno objevily. 
Dnes, aktualita, Jan Vítek
Intel ukázal design budoucích CPU Alder/Meteor Lake a Sapphire/Granite Rapids Intel ukázal design budoucích CPU Alder/Meteor Lake a Sapphire/Granite Rapids
Nakonec se v dnešním novinkovém seriálu o technologiích Intelu podíváme na to, jak budou vypadat chystané procesory Alder Lake i Meteor Lake a pak serverové Sapphire Rapids a Granite Rapids. 
Dnes, aktualita, Jan Vítek
Intel a inovace v pouzdření: EMIB, Foveros Omni a Direct Intel a inovace v pouzdření: EMIB, Foveros Omni a Direct
Intel nám toho včera naservíroval mnoho, takže pokračujeme v krasojízdě a tentokrát půjde především o inovace v pouzdření čipů. To je nedílným předpokladem pro zajištění dalšího výrazného pokroku a nám tu půjde o technologie Foveros.
Dnes, aktualita, Jan Vítek