» »

Resna ranljivost v Toru za Mac in Linux

Resna ranljivost v Toru za Mac in Linux

Slo-Tech - Verziji brskalnika Tor za Linux in Mac imata resno ranljivost, ki so jo zakrpali šele v zadnji verziji brskalnika in ki lahko razkrije identiteto uporabnika. Medtem verzija za Windows in distribucija Tails nista ranljivi, prav tako pomaga tudi, če uporabljamo peskovniško (sandboxed) verzijo Tora. Nevarnost nam preti, če kliknemo na hiperpovezavo, ki se začne s file:// namesto s pogostejšo http(s)://. V takem primeru se operacijski sistem Mac ali Linxu neposredno poveže do strežnika in ne prek omrežja Tor, s čimer razkrije svoj naslov IP. Ranljivost so domiselno poimenovali Tormoil. Ranljivost je v Tor podedovana iz Firefoxa, ki ima prav tako podobno ranljivost oziroma hrošča.

Za zdaj ni podatkov, da bi ranljivost, ki so jo prijavili 26. oktobra in zakrpali v petek, kdo tudi dejansko izkoriščal v resničnem svetu. Seveda pa je to tudi precej težko ugotoviti. Trenutna posodobitev, ki odpravlja napako, to stori precej grobo, saj povezave file:// prenehajo pravilno delovati. Za zdaj je dostop do teh naslovov mogoč tako, da ga neposredno vpišemo v naslovno vrstico ali povezavo z miško potegnemo v naslovno vrstico. Neposreden klik na povezavo pa ne deluje, kot bi moral.

12 komentarjev

OK.d ::

NSA sponzorira TOR;)
LPOK.d

pecorin ::

Ranljivost je v Tor Browser, ne v Tor. Ni ista stvar.

harmony ::

pecorin je izjavil:

Ranljivost je v Tor Browser, ne v Tor. Ni ista stvar.

Rezultat je isti...

pecorin ::

harmony je izjavil:

pecorin je izjavil:

Ranljivost je v Tor Browser, ne v Tor. Ni ista stvar.

Rezultat je isti...


Ni. Ranljivost obstaja, če uporabljaš Tor Browser.
Tor lahko uporabljaš brez Tor Browserja.

harmony ::

pecorin je izjavil:

harmony je izjavil:

pecorin je izjavil:

Ranljivost je v Tor Browser, ne v Tor. Ni ista stvar.

Rezultat je isti...


Ni. Ranljivost obstaja, če uporabljaš Tor Browser.
Tor lahko uporabljaš brez Tor Browserja.

In ga se bolj popusis, ker so ostali browserji 85x bolj bagasti.

matijadmin ::

OK.d je izjavil:

NSA sponzorira TOR;)

To ne drži. Kongres pa. In to prek razpisov, isto bi potem lahko trdili za slovenske subvencije in EU sredstva. Da BND ali Sova stojijo za tem. Pa še posrednik OTF je vmes, ki zalaga veliko projektov.

harmony je izjavil:

pecorin je izjavil:

Ranljivost je v Tor Browser, ne v Tor. Ni ista stvar.

Rezultat je isti...

Zapis avtorja pa povsem mimo.
Vrnite nam techno!

Zgodovina sprememb…

Matija82 ::

Ja, komentarji pred mano imajo kar prav.

Popravki:
Resna ranljivost v Tor Browserju za Mac in Linux
Verziji Tor Browserja za Linux in Mac
verzijo Tora Browserja
Ranljivost je Tor Browser podedoval iz Firefoxa

Je pa res, da tudi na ARS-u nekaj palamudijo z "Tor anonymity browser" namesto Tor Browser, napis ki pričaka vsakega uporabnika ob zagonu. Lahko pustimo "Tor brskalniK" ampak potem treba nujno dodati besedo brskalnik kajti "Tor" in "Tor brskalnik" sta različni stvari.

Zgodovina sprememb…

  • spremenilo: Matija82 ()

matijadmin ::

Clickbait v soju senzacionalizma ...
Vrnite nam techno!

MrStein ::

Neposreden klik na povezavo pa ne deluje, kot bi moral.

A ni na Windows to tak že dolgo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

c3p0 ::

harmony je izjavil:


In ga se bolj popusis, ker so ostali browserji 85x bolj bagasti.


Tor se lahko uporablja s poljubnim TCP servisom, SSH, pop3, ...

harmony ::

c3p0 je izjavil:

harmony je izjavil:


In ga se bolj popusis, ker so ostali browserji 85x bolj bagasti.


Tor se lahko uporablja s poljubnim TCP servisom, SSH, pop3, ...

Tega nisem vedel. Ponavadi ko slisim TOR se mi v glavi naredi povezava z browserjem in "anonimnim" pocasnim surfanjem.

MrStein ::

Že nekaj časa ni počasno.
Nazadnje sem ko sem probal (nekje letos) so recimo youtube videji delali brez zatikanja.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ranljivost v Internet Explorerju razkriva vnose v naslovno vrstico

Oddelek: Novice / Varnost
115040 (3599) MrStein
»

Britanske bolnišnice poklenile pod izsiljevalsko programsko opremo (strani: 1 2 )

Oddelek: Novice / Kriptovalute
9649726 (44309) SeMiNeSanja
»

Huda ranljivost v Firefoxu

Oddelek: Novice / Varnost
4410097 (5479) M.B.
»

Napad na Citigroup izkoristil trivialno luknjo (strani: 1 2 )

Oddelek: Novice / Varnost
6118071 (14348) ABX
»

Flash integriran v Chrome

Oddelek: Novice / Brskalniki
278168 (6421) BlueRunner

Več podobnih tem