Компания Zerodium опубликовала описание эксплойта 0-day для одного из ключевых расширений браузера Tor. Уязвимость позволяет обойти плагин NoScript и выполнять произвольные макросы на открытых в интернет-обозревателе сайтах. Разработчик дополнения уже выпустил апдейт, закрывающий брешь.

NoScript позволяет пользователю управлять выполнением скриптов Flash, JavaScript, Silverlight или Java на выбранных сайтах. Плагин включен во все дистрибутивы Tor и обеспечивает дополнительный уровень безопасности при просмотре содержимого веб-страниц. Баг дает возможность злоумышленнику обойти максимальный уровень блокировки, запрещающий запуск любого небезопасного контента. Ошибка не представляет опасности сама по себе, но может стать частью многоступенчатой атаки.

Уязвимость найдена только в «классическом» варианте NoScript, работающем на Tor 7 и ниже, начиная с релиза 5.0.4. На прошлой неделе разработчики браузера выпустили 8-ю версию, работающую на движке Firefox Quantum, в связи с чем код плагина также был переработан под стандарты нового API. В свежей, 10-й сборке расширения баг отсутствует.

Создатель NoScript Джорджио Маоне (Giorgio Maone) сообщил, что проблема вызвана обходом механизмов плагина, отключающих встроенный в браузер модуль просмотра JSON-токенов. Получив сообщение об ошибке, разработчик менее чем за сутки подготовил заплатку для расширения и выпустил версию 5.1.8.7, в которой брешь закрыта.

Компания Zerodium занимается покупкой уязвимостей нулевого дня в программном обеспечении и последующей продажей их государственным и частным заказчикам. Как сообщил CEO организации Чаоки Бекрар (Chaouki Bekrar), эксплойт был обнаружен несколько месяцев назад в ходе программы по отлову багов в браузере Tor. Тогда агентство обещало заплатить хакерам $1 млн за ранее неизвестные бреши в защищенном интернет-обозревателе.

По словам Бекрара, в дальнейшем информация об уязвимости была продана одному из правительственных заказчиков компании.

«Мы решили раскрыть этот эксплойт, поскольку срок его жизни истек с выходом Tor 8. Кроме того, нам бы хотелось обратить внимание на недостаточный уровень аудита безопасности компонентов браузера, используемых по умолчанию», — отметил руководитель Zerodium.

Технологии безопасности Tor привлекают не только обычных пользователей, но и киберпреступников. В начале этого года стало известно о мошеннической схеме одного из прокси-операторов, предоставляющего доступ в безопасную сеть через обычные браузеры. Как выяснилось, сервис Onion[.]top подменял адреса криптокошельков, передаваемых в Интернете. В результате обмана деньги, заплаченные жертвой, оседали на счетах посредников.

Категории: Уязвимости