forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обновление Tor Browser 7.0.9 с устранением уязвимости, раскр..."
Отправлено opennews, 03-Ноя-17 22:53

Сформирован (https://blog.torproject.org/tor-browser-709-released) корректирующий релиз специализированного браузера Tor Browser 7.0.9 (https://www.torproject.org/projects/torbrowser.html.en), ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая раскрыть информацию об IP-адресе системы пользователя через манипуляцию с открытием ресурсов с использованием схемы "file://", при помощи которой можно инициировать прямое соединение в обход Tor.
Атака может быть реализована на платформах Linux и macOS и требует, чтобы пользователь кликнул по подготовленной атакующим ссылке. Детали уязвимости пока не раскрыты публично и доступны (https://bugzilla.mozilla.org/show_bug.cgi?id=1412081) только разработчикам браузера (вероятно, проблема сходна с недавно выявленной тем же автором уязвимостью (https://www.wearesegment.com/research/mac-os-x-local-javascr.../) при обработке file:// в Safari). Исправление сводится к запрету URL "file://".

Проблема не проявляется в дистрибутиве Tails, в сборке sandboxed-tor-browser (Tor Browser запускается в изолированном окружении) и в дистрибутиве Whonix (выход в сеть из производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов).
Кроме того, проект Tor анонсировал (https://blog.torproject.org/tors-fall-harvest-next-generatio...) введение в строй протокола скрытых сервисов третьего поколения, поддержка которого была реализована в находящейся на стадии альфа-тестирования ветке Tor 0.3.2. Третья версия протокола для onion-сервисов отличается переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.
URL: https://blog.torproject.org/tor-browser-709-released
Новость: https://www.opennet.ru/opennews/art.shtml?num=47500

Исходное сообщение
"Обновление Tor Browser 7.0.9 с устранением уязвимости, раскр..." Отправлено opennews, 03-Ноя-17 22:53
Сформирован (https://blog.torproject.org/tor-browser-709-released) корректирующий релиз специализированного браузера Tor Browser 7.0.9 (https://www.torproject.org/projects/torbrowser.html.en), ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая раскрыть информацию об IP-адресе системы пользователя через манипуляцию с открытием ресурсов с использованием схемы "file://", при помощи которой можно инициировать прямое соединение в обход Tor. Атака может быть реализована на платформах Linux и macOS и требует, чтобы пользователь кликнул по подготовленной атакующим ссылке. Детали уязвимости пока не раскрыты публично и доступны (https://bugzilla.mozilla.org/show_bug.cgi?id=1412081) только разработчикам браузера (вероятно, проблема сходна с недавно выявленной тем же автором уязвимостью (https://www.wearesegment.com/research/mac-os-x-local-javascr.../) при обработке file:// в Safari). Исправление сводится к запрету URL "file://". Проблема не проявляется в дистрибутиве Tails, в сборке sandboxed-tor-browser (Tor Browser запускается в изолированном окружении) и в дистрибутиве Whonix (выход в сеть из производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов). Кроме того, проект Tor анонсировал (https://blog.torproject.org/tors-fall-harvest-next-generatio...) введение в строй протокола скрытых сервисов третьего поколения, поддержка которого была реализована в находящейся на стадии альфа-тестирования ветке Tor 0.3.2. Третья версия протокола для onion-сервисов отличается переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024. URL: https://blog.torproject.org/tor-browser-709-released Новость: https://www.opennet.ru/opennews/art.shtml?num=47500

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Сформирован (https://blog.torproject.org/tor-browser-709-released) корректирующий 
> релиз специализированного браузера Tor Browser 7.0.9 (https://www.torproject.org/projects/torbrowser.html.en), 
> ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен 
> на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется 
> только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая раскрыть 
> информацию об IP-адресе  системы пользователя через манипуляцию с открытием ресурсов 
> с использованием  схемы "file://", при помощи которой можно инициировать прямое 
> соединение в обход Tor.

> Атака может быть реализована на платформах Linux и macOS и требует, чтобы 
> пользователь кликнул по подготовленной атакующим ссылке. Детали уязвимости пока не раскрыты 
> публично и  доступны (https://bugzilla.mozilla.org/show_bug.cgi?id=1412081) только 
> разработчикам браузера (вероятно, проблема сходна с недавно выявленной тем же автором 
>  уязвимостью (https://www.wearesegment.com/research/mac-os-x-local-javascript-quarantine-bypass/) 
> при обработке file:// в Safari). Исправление сводится к запрету URL  
> "file://".

> Проблема не проявляется в дистрибутиве Tails, в сборке sandboxed-tor-browser (Tor Browser 
> запускается в изолированном окружении) и в дистрибутиве Whonix (выход в сеть 
> из производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от 
> прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых 
> адресов).

> Кроме того, проект Tor анонсировал (https://blog.torproject.org/tors-fall-harvest-next-generation-onion-services) 
> введение в строй протокола скрытых сервисов третьего поколения, поддержка которого была 
> реализована в находящейся на стадии альфа-тестирования ветке Tor 0.3.2. Третья версия 
> протокола для onion-сервисов отличается переходом на 56-символьные адреса, более надёжной 
> защитой от утечек данных через серверы директорий, расширяемой модульной структурой и 
> использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.

> URL: https://blog.torproject.org/tor-browser-709-released 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=47500

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру