Zerodium公开Tor浏览器0day代码执行漏洞 被喷“不负责任”

ang010ela 嘶吼专业版

专门购买漏洞的安全经纪公司Zerodium在Twitter公布了Tor Browser的一个0 day漏洞。该漏洞能绕过Tor/NoScript最高安全级别的保护，允许恶意代码在浏览器上运行。漏洞影响Tor Browser 7.x，但不影响最新发布的Tor Browser 8.0。

Tweet文中描述了Tor浏览器的漏洞（后门），其实该漏洞影响的是NoScript，一个只允许JavaScript、Java、Flash插件在可信站点上执行的非常流行的Firefox扩展，NoScript扩展可以保护用户免受恶意脚本的***。而Tor浏览器是基于Firefox的，而且默认包含了NoScript。

NoScript的开发者Giorgio Maone在5.1.8.7版本发布2小时就修复了该漏洞，并称该漏洞只影响NoScript 5的classic分支。Maone解释说该bug存在于拦截浏览器内JSON viewer的NoScript。该漏洞从NoScript 5.0.4 2017年5月发布就一直存在了。

Tor Project强调这不是Tor的0 day漏洞，这只是可以绕过NoScript隐私保护的NoScript的bug。

Zerodium CEO Chaouki Bekrar表示，该漏洞可以绕过NoScript提供的安全保护，即使Tor浏览器被设定为最高安全等级（“Safest” security level），利用该漏洞可以执行任意的JS代码。而且Zerodium几个月前获得了该漏洞，并已经与*客户分享该漏洞情报。

Tor浏览器项目说Zerodium在Twitter上公布该漏洞是非常不负责任的，而Zerodium反驳了这一观点，称他们决定披露该漏洞是因为最新发布的Tor Browser 8.0 不受影响，它的生命期已经结束。漏洞本身不会暴露数据，需要与其它漏洞利用方法组合使用。