www.svethardware.cz
>
>
>
>

Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu

Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu
, , aktualita
Bezpečnostní výzkumník informoval o několika chybách, které obsahuje známý prohlížeč zaměřený na soukromí. Zatím zveřejnil podrobnosti o dvou z nich, ale objevil i tři další. Tor Project se totiž prý k opravě nemá, i když svou nečinnost vysvětlil.
K oblíbeným
reklama
Software pro anonymizaci Tor bývá považován za jeden z nejbezpečnějších způsobů přístupu k internetu, i když zcela „neprůstřelný“ v žádném případě není. Bezpečnostní výzkumník dr. Neal Krawetz, který sám provozuje několik uzlů v síti Tor, se zabezpečením tohoto softwaru zabývá dlouhodobě. V minulosti kritizoval neziskovou organizaci Tor Project kvůli chybějící možnosti snadného nahlášení chyb. Tento nedostatek měl být vyřešen v roce 2017, kdy vývojáři v reakci na kritiku změnili design webových stránek, aby usnadnili hlášení chyb. Kromě toho také spustili bug bounty program prostřednictvím platformy HackerOne, kde mohou uživatelé získat odměnu za objevené zranitelnosti.
 
 
Krawetz ovšem tvrdí, že na neschopnosti řešit nahlášené chyby se nic moc nezměnilo. A nedávno mu došla trpělivost kvůli dvěma letošním událostem. První byl masivní DDoS útok v únoru, kdy byl vážně zasaženy i Krawetzovy služby, ale díky rychlému zjištění příčiny se vývojáři povedlo dát vše rychle do pořádku. Zranitelnost proto nahlásil přes bug bounty program a na žádost organizace Tor Project poskytl velmi detailní popis problému. Po diskuzi plné technických detailů ovšem dostal od zástupce podpory překvapivou odpověď, že se v daném vlákně „začíná ztrácet“ a pokud nemá žádnou konkrétní chybu, za kterou by mohl dostat odměnu, nemohou mu jinak pomoci.
 
Již v roce 2017 se ovšem Krawetz snažil nahlásit jinou zranitelnost, ale kvůli tehdejší absenci rozhraní pro oznámení chyb se mu to ovšem nepodařilo. Ačkoliv problém ohlásil později přes platformu HackerOne, získal za její objevení odměnu a případ byl označen jako vyřešený, zranitelnost v softwaru zůstala. Podobných zážitků měl více, proto se letos v červnu rozhodl ukončil spolupráci s organizací Tor Project a zveřejnit podrobnosti na svém blogu. Zatím v příspěvcích popisuje dvojici zero-day chyb (tj. neopravených), které umožňují poskytovatelům internetového připojení nebo třeba zaměstnavatelům blokovat přístup k síti Tor, a to pomocí detekce odlišných paketů.
 
Zatímco první chyba se týká přímého spojení se sítí Tor, druhá umožňuje poznat i tzv. nepřímé spojení. Jedná se o postup, který je používán právě k oklamání ISP. Uživatel se totiž k síti Tor připojuje přes tzv. mosty, které fungují jako vstupní body, a jejich seznam se často mění, aby nebylo snadné přístup k nim zablokovat. Tyto chyby přitom mohou být zneužívány vládami v zemích s represivními režimy, kde je síť Tor zakázána (např. Čína, Saudská Arábie nebo Írán). Krawetz dodává, že v blízké době publikuje informace o třech dalších chybách. Jedna z nich, která umožňuje detekovat zmíněné mosty, byla objevena před minimálně osmi lety.
 
Zbylé dvě – jednu lze zneužít pro detekci operačního systému podle šířky posuvníku v prohlížeči a druhou k identifikaci knihovny SSL používané servery Tor – znají vývojáři přinejmenším od roku 2017. Tor se po publicitě rozhodl k chybám obsáhle vyjádřit a uvedl, že pro uživatele nepředstavují reálné riziko. Vývojáři ovšem prý dlouhodobě pracují na řešení.
 
Zdroj: Zdnet.com


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
Gigabyte G242-Z11 dostává AMD EPYC, NVIDIA A100 a PCIe 4.0 Gigabyte G242-Z11 dostává AMD EPYC, NVIDIA A100 a PCIe 4.0
Gigabyte představil nový HPC server, který využívá služeb výkonného 64jádrového procesoru AMD EPYC 7H12 i několika GPU, např. NVIDIA Ampere A100. To vše navíc doplňuje podpora rychlého rozhraní PCIe 4.0.
Dnes, aktualita, Milan Šurkala
Přenosná stanice a-XP, aneb 64jádrový Threadripper v kufříku Přenosná stanice a-XP, aneb 64jádrový Threadripper v kufříku
Počítač a-XP vypadá jako notebook z dob minulých nebo jako počítačový mod založený na desktopové skříni. Jde ale o přenosnou pracovní stanici, která nabídne i 64jádrový Threadripper, a to v zajímavém balení. 
Dnes, aktualita, Jan Vítek
Donald Trump zakázal čínský TikTok a WeChat, mají posledních 45 dní Donald Trump zakázal čínský TikTok a WeChat, mají posledních 45 dní
Boje mezi Čínou a USA na hospodářském poli jsou čím dál silnější. Donald Trump tak podepsal výkonný příkaz, který za 45 dní zakáže spolupráci s firmami, pod které spadají aplikace TikTok a WeChat. Důvodem mají být obavy o bezpečnost.
Dnes, aktualita, Milan Šurkala
Pravidla firmy Apple znamenají žádný xCloud či Stadii na iOS Pravidla firmy Apple znamenají žádný xCloud či Stadii na iOS
Microsoft nedávno představil novinku v podobě spojení služeb xCloud a Xbox Game Pass Ultimate do jedné a zároveň představil různá zařízení s Androidem, která budou streamované hraní z jeho serverů podporovat. O iOS se ale nezmínil. 
Dnes, aktualita, Jan Vítek
Intel slibuje od 14nm Core i7 výrazně vyšší výkon než má Renoir, ovšem v čem? Intel slibuje od 14nm Core i7 výrazně vyšší výkon než má Renoir, ovšem v čem?
Na webu se objevila prezentace Intelu, z níž se dozvídáme nové informace o tom, jaký výkon bychom měli očekávat od procesorů Tiger Lake-U a konkrétně Core i7-10750H. Intel přitom operuje konkrétně s herním výkonem. 
Dnes, aktualita, Jan Vítek2 komentáře