Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее до актуальной версии 6.0.5. Новая версия веб-браузера включает в себя исправление серьезной уязвимости Firefox с внутренним идентификатором ESR-45, которая позволяет атакующим, получившим в распоряжение действительный или фальшивый цифровой сертификат TLS для веб-сайта addons.mozilla.org, удаленно устанавливать вредоносное ПО через доставку вредоносного обновления для расширения NoScript. This release features important security updates to Firefox including the recently disclosed extension update vulnerability. All users should upgrade as soon as possible.
Сама уязвимость (Tor Browser certificate pinning bypass for addons.mozilla.org) позволяет подготовленным атакующим организовать скрытную RCE-атаку на пользователей веб-браузера Tor на различных платформах, включая, Windows, Linux, и OS X.
That vulnerability allows an attacker who is able to obtain a valid certificate for addons.mozilla.org to impersonate Mozilla's servers and to deliver a malicious extension update, e.g. for NoScript. This could lead to arbitrary code execution. Moreover, other built-in certificate pinnings are affected as well. Obtaining such a certificate is not an easy task, but it's within reach of powerful adversaries (e.g. nation states).
Для эксплуатации уязвимости используются и другие слабые места Firefox, например, возможность подписывать цифровой подписью расширения на основе полностью автоматического процесса. Процесс атаки может состоять из следующих этапов.
- Разработать вредоносное расширение с нужным для атакующих кодом, а затем подписать его у Mozilla.
- Сгенерировать фальшивый цифровой сертификат для addons.mozilla.org, который может пройти проверку любого CA из хранилища Firefox (является весьма сложной задачей, но не является невыполнимой для state-sponsored атакующих).
- Организовать MitM-атаку на трафик, проходящий между addons.mozilla.org и системой жертвы при обновлении NoScript.
- Вредоносное расширение доставляется предполагаемой жертве вместо его легитимного обновления.
Мы рекомендуем пользователям обновить свою копию веб-браузера до версии 6.0.5. Загрузить ее можно здесь или на веб-странице с директорией дистрибутивов.
Более детально уязвимость описана в следующих источниках:
» hackernoon.com
» seclists.org
be secure.
Комментарии (20)
bogolt
17.09.2016 20:31+1>attacker who is able to obtain a valid certificate for addons.mozilla.org
переводится как
атакующий получивший правильный сертификат для addons.mozilla.org
у вас же «действительный или фальшивый»
Дальше NoScript употребялся лишь как пример ( eg NoScript ) на самом же деле имеется в виду любое расширение.;
dartraiden
17.09.2016 21:00-2Да, там речь о том, что в Firefox «вшиты» сведения о том, каким удостоверяющим центром должен быть выдан сертификат для того или иного сайта. И, в идеале, даже если сертификат будет действительным, но выдан каким-то другим УЦ — браузер его отвергнет.
А из-за ошибки в коде эту проверку можно обойти, и задача сводится к «получить у любого УЦ действительный сертификат для нужного нам сайта». Поэтому атака для обычного «хакера» практически недоступна (сертификат всё-таки требуется действительный, подписанный УЦ), а вот спецслужбам легче надавить на УЦ.
starius
19.09.2016 00:08attacker who is able to obtain a valid certificate for addons.mozilla.org
переводится как
атакующий получивший правильный сертификат для addons.mozilla.org
Я бы перевёл "нарушитель, имеющий возможность получить действующий сертификат для addons.mozilla.org".
на самом же деле имеется в виду любое расширение
Думаю, не совсем любое, а только одно из установленных (а это NoScript, HTTPS Everywhere, Torbutton и TorLauncher).
r85qPZ1d3y
17.09.2016 21:00-4А какой профит антивирусной компании от такой рекомендации? Рекомендуют хакерам, использующим теневой интернет для своих дел, закрыть дыры в безопасности?
Благородно, охотно верю.
sumanai
17.09.2016 21:45+4Рекомендуют хакерам, использующим теневой интернет для своих дел
Браузер Tor используют далеко не только хакеры.
GoldJee
20.09.2016 15:41Ох уж этот страшный даркнет с хакерами, оружием, наркотиками и детским порно. Запретить!
Tor — всего лишь средство анонимизации.
SagePtr
17.09.2016 21:00+2А где гарантия, что злоумышленники не скомпрометируют сам addons.mozilla.org или не заставят автора какого-нибудь расширения внедрить закладку? Конечно, вероятность этого крайне мала, но в таком параноидальном браузере, как TOR Browser, могли бы в принципе позаботиться об этом и добавить в проверку из-коробочных расширений дополнительный шаг — например, автоматически вместе с проверкой обновлений самого браузера обновлять с того же сервера белый список хэшей встроенных расширений, подписанный тем же ключом, что и сам браузер. И если для какого-то дополнения автоматом загрузилось обновление, но при этом хэша новой версии нет в этом белом списке — отложить установку до тех пор, пока мейнтейнеры Tor Browser не проведут его аудит и не добавят в список. Или спросить юзера, желает ли он установить сейчас (опасно) либо дождаться аудита.
Безопасность от этого не пострадает, потому что даже если утащат ключ, которым этот список подписан и скомпрометируют его — с тем же успехом на тот же сервер попросту могут подложить левую версию самого браузера и поставить её под видом легитимной новой версии.starius
19.09.2016 00:12- s/TOR/Tor/
- Видимо, надёжность addons.mozilla.org считают равной надёжности самих разработчиков Tor browser. Хотя лучше бы совсем запретили любые обновления дополнений, кроме как в составе всего браузера целиком.
EndUser
17.09.2016 21:33Да толку. Свои маршруты выстраивает по 15-40 минут с вероятностью 10% успеха. «Не юзабелен».
Erelecano
18.09.2016 23:49+1Как оно там, в 2005 году?
В 2016 Tor работает моментально и практически на скорости предоставляемой провайдером.starius
19.09.2016 00:16Всё-таки до скорости провайдера (100 мегабит) не дотягивает, но видео смотреть можно.
Что куда больше вредит — капчи и блокировки, появившиеся на разных сайтах.
EndUser
19.09.2016 02:32«Доллар дешевле!», блин.
В 2005 было быстрее, до тех пор, пока страна не начала прилагать специальные усилия против него.
Давайте не будем спорить «у меня не работает» против «у меня работает».
Так что говорю как есть: на имеющуюся дату в имеющейся стране на имеющемся провайдере использовать получается нечасто.
А вот FoxyProxy (и аналогичные) обладают теми качествами, что вы указываете: соединение менее 10 секунд, в принципе можно смотреть видео на 720p.
Кстати, starius прав — много exit-нодов дискредитированы спамерами и прочими злодеями, и теперь половина сайтов даже обычного веб-сёрфера боятся.starius
19.09.2016 03:44Давайте не будем спорить «у меня не работает» против «у меня работает».
Ниже я привёл несколько официальных показателей.
В 2005 было быстрее, до тех пор, пока страна не начала прилагать специальные усилия против него.
В 2005 пропускная способность сети была намного меньше.
Ещё один показатель: время загрузки файла 5 мегабайт:
По обоим показателям замечены существенные улучшения с 2005 года.
Добавлю свои личные замеры:
$ torsocks curl -o /dev/null http://speedtest.wdc01.softlayer.com/downloads/test10.zip % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 11.0M 100 11.0M 0 0 317k 0 0:00:35 0:00:35 --:--:-- 412k $ curl -o /dev/null http://speedtest.wdc01.softlayer.com/downloads/test10.zip % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 11.0M 100 11.0M 0 0 785k 0 0:00:14 0:00:14 --:--:-- 1889k
Файл 10 мегабайт загружается примерно в 2 раза дольше, если скачивать через Tor.
Могли бы вы провести аналогичные запуски, пожалуйста?
EndUser
19.09.2016 04:34Не могу, извините.
Вот эта картинка у меня пятый час и такое происходит в 80-90% запусков.
https://postimg.org/image/799cg3wgr/
Я не настойчиво пробовал добиться результата в последние месяцы, не каждый день упорно продолжал запускать браузер — нашёл других поставщиков защиты.
Но в районе весны я был настроен решительно и перепробовал все опции его соединения. Очень нестабильно. Редко когда соединение устанавливалось. За это время я один-два раза переинсталлировал ОС, но не менял провайдера или конфигурацию раутера. Должен отметить, что зимой соединение было повеселее — минуту-три и внятная скорость.
Если браузер сегодня вообще соединится, я сразу же сюда дам статистику.starius
19.09.2016 05:14Лучше пришлите лог, а не скриншот. Причиной могут оказаться не козни провайдера, а сбитый MTU, например.
Кстати, хостинг скриншотов какой-то неудачный — пришлось два раза ввести капчу, чтобы увидеть саму картинку.
EndUser
19.09.2016 05:29Подскажите, пожалуйста, где брать этот лог.
Windows 8.1 x64, версия бандла свежая (но я не могу дождаться About, чтобы выразиться в точных номерах).
starius
Он сам обновляется уже почти два года (начиная с версии 4.0).
icoffee
У меня Linux и нужно вручную нажать на кнопку «Проверить на наличие обновлений Tor Browser»
starius
У меня Linux и браузер сам скачивает и применяет обновление в фоне и просит подтвердить перезапуск браузера, когда всё готово. Можно и вручную проверять.
Кстати, для первоначальной установки написал скрипт и таскаю его с собой.