Проверке подверглись Tor Browser, OONI Probe, rdsys, BridgeDB и Conjure. Было выявлено 9 уязвимостей, две из которых носят критический характер.
Разработчики анонимной сети Tor результаты аудита браузера Tor Browser и развиваемых проектом инструментариев OONI Probe, rdsys, BridgeDB и Conjure, применяемых для анонимных сетевых соединений, защищённых от прослушивания и механизмов анализа трафика.
Сам Tor Project отмечает, что:
Проблемы были следующие:
Дополнительно можно выпуск браузера Tor Browser версии 13.0.1, которая основана на Firefox 115.4.0 ESR, и в ней было исправлено 19 уязвимостей . В Tor Browser 13.0.1 для Android перенесены исправления уязвимостей из ветки Firefox 119.
Разработчики анонимной сети Tor результаты аудита браузера Tor Browser и развиваемых проектом инструментариев OONI Probe, rdsys, BridgeDB и Conjure, применяемых для анонимных сетевых соединений, защищённых от прослушивания и механизмов анализа трафика.
Сам Tor Project отмечает, что:
Аудит компанией Cure53 с ноября 2022 года по апрель 2023 года. В ходе проверки были выявлены 9 уязвимостей, две из которые отнесены к категории опасных, одной присвоен средний уровень опасности, а 6 отнесены к проблемам с незначительным уровнем опасности. Также в кодовой базе было найдено 10 проблем, отнесённых к категории не связанных с безопасностью недоработок. В целом код проекта Tor отмечен как соответствующий практикам безопасного программирования.
Проблемы были следующие:
- Первая опасная уязвимость в rdsys: Уязвимость была обнаружена в бэкенде rdsys, который используется для доставки различных ресурсов пользователям, в том числе списков прокси и ссылок для загрузки. Проблема заключалась в отсутствии аутентификации при обращении к регистрационному обработчику ресурсов. Это давало возможность атакующему зарегистрировать свой вредоносный ресурс и предоставить его пользователям. Эксплуатировать уязвимость можно было, отправив HTTP-запрос к обработчику rdsys.
- Вторая опасная уязвимость в Tor Browser: Проблема была связана с отсутствием проверки цифровой подписи при загрузке списка мостов через rdsys и BridgeDB. Поскольку этот список загружается до подключения к анонимной сети Tor, возможна подмена содержимого списка атакующим, например, через перехват соединения. Это могло привести к тому, что пользователи подключались бы через компрометированные мостовые узлы, контролируемые злоумышленником.
- Уязвимость средней степени опасности в rdsys: Уязвимость была обнаружена в подсистеме rdsys в скрипте развёртывания сборок. Она позволяла атакующему повысить свои привилегии с уровня пользователя nobody до пользователя rdsys, при наличии доступа к серверу и возможности записи в каталог с временными файлами. Эксплуатация уязвимости сводится к замене размещаемого в каталоге /tmp исполняемого файла. Получение прав пользователя rdsys позволяет атакующему внести изменения в запускаемые через rdsys исполняемые файлы.
- Уязвимости низкой степени опасности: Большинство из них были связаны с использованием устаревших библиотек, содержащих известные уязвимости, или с возможностью совершения отказа в обслуживании. В Tor Browser, например, была возможность обойти запрет выполнения JavaScript при выставлении высшего уровня защиты, отсутствие ограничений по загрузке файлов и потенциальная утечка информации через пользовательскую домашнюю страницу, позволяющая отслеживать пользователей между перезапусками.
Дополнительно можно выпуск браузера Tor Browser версии 13.0.1, которая основана на Firefox 115.4.0 ESR, и в ней было исправлено 19 уязвимостей . В Tor Browser 13.0.1 для Android перенесены исправления уязвимостей из ветки Firefox 119.
