瑞星预警:上暗网也不安全 NoScript组件被曝漏洞

近日,国外漏洞供应商“Zerodium”披露了一个Tor浏览器漏洞,此漏洞会绕过Tor浏览器与低版本的火狐浏览器的安全机制,浏览器设置禁用脚本功能之后,仍然可以执行任意脚本,如果用户访问攻击者精心构造的网页,可能就会受到威胁。
Tor浏览器(洋葱浏览器)是一款可以匿名上网的浏览器,用户通过Tor可以在互联网上进行匿名交流。Tor网络允许任何人,以完全匿名的形式浏览及访问互联网,且不受地域限制。除此之外,利用Tor网络我们还能到达自然搜索无法到达的网络空间(俗称的暗网)。

NoScript组件是Tor浏览器与低版本火狐浏览器的的扩展插件,而此组件存在漏洞,漏洞通过绕过NoScript的脚本阻止功能,允许恶意代码在Tor浏览器中运行。

NoScript受影响版本:NoScript 5.0.4 — NoScript 5.1.8.6

NoScript 5.1.8.7 已修复此漏洞,若浏览器开启了拓展组件自动更新功能,NoScript已更新到最新版本了,可以避免此漏洞。


图:禁用脚本,但脚本仍然运行成功,弹出窗口


瑞星安全专家提醒用户不需要恐慌,浏览器默认是允许运行JS脚本的,平常浏览网站炫酷的界面也非常依赖JS脚本,因此运行脚本并不意味着不安全。只不过这个漏洞是因为访问了攻击者构造的网页,即使浏览器使用NoScript组件禁用脚本,但脚本仍然可以运行。因此,不访问可疑网站可以很大程度避免这种攻击。对于Tor浏览器用户和使用了NoScript组件的火狐浏览器用户,可以单独更新此组件或者更新浏览器来修复此漏洞。


漏洞的详细信息:

Zerodium是一家购买和销售流行软件漏洞的公司,近日在Twitter上发布了有关Tor浏览器零日漏洞的详细信息,Tor浏览器是一款基于Firefox的浏览器,隐私意识较强的用户常通过Tor网络提供的匿名性来浏览网页。

在一条推文中,Zerodium表示,该漏洞完全绕过了NoScript扩展的“最安全”安全级别,默认情况下包含在所有Tor浏览器发行版中。NoScript是一种浏览器扩展,它使用白名单方法让用户决定浏览器可以从哪些域执行JavaScript,Flash,Java或Silverlight内容。它包含在所有Tor Browser发行版中,因为它为Tor Browser用户提供了额外的安全层。

Zerodium公布的Tor零日漏洞通过绕过NoScript的脚本阻止功能,基本上允许恶意代码在Tor浏览器中运行。根据Zerodium的说法,零日漏洞只影响Tor Browser 7.x系列。上周发布的Tor Browser 8.x分支机构不受影响。原因是Tor Browser 8.x系列将其底层代码库从较旧的Firefox核心切换到新的Firefox Quantum平台,该平台使用新的附加API。NoScript附加组件在去年年底被重写,以便在新的Firefox Quantum平台上运行,因此近日发布的零日漏洞不会影响新的Tor Browser 8.x系列。

在接受媒体采访时,NoScript扩展的作者Giorgio Maone表示零日是由NoScript阻止Tor浏览器的浏览器内JSON查看器引起的。在成功复现该问题后,Maone已经更新NoScript插件,以减轻零日影响。

在与媒体的电子邮件交流中,Zerodium首席执行官Chaouki Bekrar提供了近日公布的零日漏洞的详细信息。

Bekrar告诉媒体:“我们在2017年12月推出了针对Tor浏览器的具体且有时间限制的漏洞奖励,我们已经收到并获得许多符合我们的要求的Tor浏览器漏洞。这个Tor浏览器漏洞被Zerodium在几个月前收购,并与我们的政府客户分享。我们已经决定披露这个漏洞,因为它已经到了生命周期的终点,它并没有影响上周发布的Tor Browser版本8.x我们还希望提高对主要组件缺乏(或不充分)安全审核的认识,这些组件默认情况下捆绑在Tor浏览器之中,并受到数百万用户的信任。”

“漏洞本身并不会泄露任何数据,因为它必须链接到其他漏洞利用,但它绕过了NoScript组件提供的Tor Browser最重要的安全措施之一。如果用户将其Tor浏览器安全级别设置为最安全,旨在阻止来自所有网站的所有JavaScript,例如为了防止利用漏洞,则所披露的漏洞将允许网站或隐藏服务绕过所有NoScript限制并执行任何JavaScript代码, 最安全级别对浏览器漏洞利用毫无用处。”

建议Tor Browser 7.x用户更新到Tor Browser 8.x,或者至少确保安装NoScript,作者Maone提供NoScript更新。含有漏洞的Tor Browser 7.5.6附带的NoScript版本是NoScript 5.1.8.6。NoScript作者Maone发布了NoScript 5.1.8.7,修复了零日漏洞。Maone还告诉媒体,该漏洞是在2017年5月11日发布的NoScript 5.0.4中引入的。

参考链接:

https://www.zdnet.com/article/exploit-vendor-drops-tor-browser-zero-day-on-twitter/
最后编辑麦青儿 最后编辑于 2018-09-13 11:38:29