forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Tor Browser 6.0.5 устранена уязвимость, позволяющая обойти..."
Отправлено opennews, 17-Сен-16 09:57

Разработчики анонимной сети Tor представили (https://blog.torproject.org/blog/tor-browser-605-released) новый выпуск развиваемого проектом web-браузера Tor Browser 6.0.5, ориентированного на обеспечение анонимности, безопасности и приватности. В новой версии устранена уязвимость (http://seclists.org/dailydave/2016/q3/51) (ESR-45), которая пока остаётся неисправленной в Firefox (проблема будет устранена (https://www.mail-archive.com/tor-bugs@lists.torproject....) в обновлениях, намеченных на 20 сентября). Проблема позволяет обойти механизм привязки открытых ключей (Public Key Pinning (https://blog.mozilla.org/security/2014/09/02/public-key-pinning/)), позволяющий явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта.
Уязвимость позволяет (https://bugzilla.mozilla.org/show_bug.cgi?id=1303127) атакующему написать вредоносное дополнение, сформировать для него цифровую подпись в автоматизированном сервисе Mozilla, сгенерировать поддельный сертификат для сайта addons.mozilla.org в любом удостоверяющем центре и подменить трафик с addons.mozilla.org. При осуществлении MITM-атаки злоумышленник может подменить загружаемое с addons.mozilla.org дополнение, добиться выполнения в браузере подставного вредоносного дополнения и получить полный контроль над браузером. Например, можно передать данные о наличии обновления NoScript или HTTPS Everywhere, и при попытке его установки передать вредоносную сборку дополнения.

Важно подчеркнуть, что проблема затрагивает лишь технологию привязки ключей (pinning), а для атаки требуется компрометация какого-либо удостоверяющего центра. Т.е. атака не может быть проведена обычными злоумышленниками, но не исключается, что ей могут воспользоваться крупные спецслужбы для деанонимизации пользователей Tor Browser. Напомним, что в 2011 году в результате взлома (https://www.opennet.ru/opennews/art.shtml?num=31678) удостоверяющего центра DigiNotar атакующие смогли получить (https://www.opennet.ru/opennews/art.shtml?num=31652) обманный сертификат для домена addons.mozilla.org.

URL: https://blog.torproject.org/blog/tor-browser-605-released
Новость: https://www.opennet.ru/opennews/art.shtml?num=45165

Исходное сообщение
"В Tor Browser 6.0.5 устранена уязвимость, позволяющая обойти..." Отправлено opennews, 17-Сен-16 09:57
Разработчики анонимной сети Tor представили (https://blog.torproject.org/blog/tor-browser-605-released) новый выпуск развиваемого проектом web-браузера Tor Browser 6.0.5, ориентированного на обеспечение анонимности, безопасности и приватности. В новой версии устранена уязвимость (http://seclists.org/dailydave/2016/q3/51) (ESR-45), которая пока остаётся неисправленной в Firefox (проблема будет устранена (https://www.mail-archive.com/tor-bugs@lists.torproject....) в обновлениях, намеченных на 20 сентября). Проблема позволяет обойти механизм привязки открытых ключей (Public Key Pinning (https://blog.mozilla.org/security/2014/09/02/public-key-pinning/)), позволяющий явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта. Уязвимость позволяет (https://bugzilla.mozilla.org/show_bug.cgi?id=1303127) атакующему написать вредоносное дополнение, сформировать для него цифровую подпись в автоматизированном сервисе Mozilla, сгенерировать поддельный сертификат для сайта addons.mozilla.org в любом удостоверяющем центре и подменить трафик с addons.mozilla.org. При осуществлении MITM-атаки злоумышленник может подменить загружаемое с addons.mozilla.org дополнение, добиться выполнения в браузере подставного вредоносного дополнения и получить полный контроль над браузером. Например, можно передать данные о наличии обновления NoScript или HTTPS Everywhere, и при попытке его установки передать вредоносную сборку дополнения. Важно подчеркнуть, что проблема затрагивает лишь технологию привязки ключей (pinning), а для атаки требуется компрометация какого-либо удостоверяющего центра. Т.е. атака не может быть проведена обычными злоумышленниками, но не исключается, что ей могут воспользоваться крупные спецслужбы для деанонимизации пользователей Tor Browser. Напомним, что в 2011 году в результате взлома (https://www.opennet.ru/opennews/art.shtml?num=31678) удостоверяющего центра DigiNotar атакующие смогли получить (https://www.opennet.ru/opennews/art.shtml?num=31652) обманный сертификат для домена addons.mozilla.org. URL: https://blog.torproject.org/blog/tor-browser-605-released Новость: https://www.opennet.ru/opennews/art.shtml?num=45165

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики анонимной сети Tor представили (https://blog.torproject.org/blog/tor-browser-605-released) 
> новый выпуск развиваемого проектом web-браузера Tor Browser 6.0.5, ориентированного на 
> обеспечение анонимности, безопасности и приватности. В новой версии устранена  уязвимость 
> (http://seclists.org/dailydave/2016/q3/51) (ESR-45), которая пока остаётся неисправленной 
> в Firefox (проблема будет устранена (https://www.mail-archive.com/tor-bugs@lists.torproject.org/msg102863.html) 
> в обновлениях, намеченных на 20 сентября). Проблема позволяет обойти механизм привязки 
> открытых ключей (Public Key Pinning (https://blog.mozilla.org/security/2014/09/02/public-key-pinning/)), 
> позволяющий явно определить сертификаты каких удостоверяющих центров допустимо использовать 
> для заданного сайта.

> Уязвимость позволяет (https://bugzilla.mozilla.org/show_bug.cgi?id=1303127) атакующему 
> написать вредоносное дополнение, сформировать для него цифровую подпись в автоматизированном 
> сервисе Mozilla, сгенерировать поддельный сертификат для сайта addons.mozilla.org в любом 
> удостоверяющем центре и подменить трафик с addons.mozilla.org. При осуществлении MITM-атаки 
> злоумышленник может подменить загружаемое с addons.mozilla.org дополнение, добиться 
> выполнения в браузере подставного вредоносного дополнения и получить полный контроль над 
> браузером. Например, можно передать данные о наличии обновления NoScript или HTTPS 
> Everywhere, и при попытке его установки передать вредоносную сборку дополнения.

> Важно подчеркнуть, что проблема затрагивает лишь технологию привязки ключей (pinning), 
> а  для атаки требуется компрометация какого-либо удостоверяющего центра. Т.е. атака 
> не может быть проведена обычными злоумышленниками, но не исключается, что ей 
> могут воспользоваться крупные спецслужбы для деанонимизации пользователей Tor Browser. 
> Напомним, что в 2011 году в результате взлома (https://www.opennet.ru/opennews/art.shtml?num=31678) 
> удостоверяющего центра  DigiNotar атакующие смогли получить (https://www.opennet.ru/opennews/art.shtml?num=31652) 
> обманный сертификат для домена addons.mozilla.org.

> URL: https://blog.torproject.org/blog/tor-browser-605-released 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=45165

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру