Zerodium公开Tor浏览器0day代码执行漏洞 被喷“不负责任”
ang010ela 嘶吼专业版
专门购买漏洞的安全经纪公司Zerodium在Twitter公布了Tor Browser的一个0 day漏洞。该漏洞能绕过Tor/NoScript最高安全级别的保护,允许恶意代码在浏览器上运行。漏洞影响Tor Browser 7.x,但不影响最新发布的Tor Browser 8.0。
Tweet文中描述了Tor浏览器的漏洞(后门),其实该漏洞影响的是NoScript,一个只允许JavaScript、Java、Flash插件在可信站点上执行的非常流行的Firefox扩展,NoScript扩展可以保护用户免受恶意脚本的***。而Tor浏览器是基于Firefox的,而且默认包含了NoScript。
NoScript的开发者Giorgio Maone在5.1.8.7版本发布2小时就修复了该漏洞,并称该漏洞只影响NoScript 5的classic分支。Maone解释说该bug存在于拦截浏览器内JSON viewer的NoScript。该漏洞从NoScript 5.0.4 2017年5月发布就一直存在了。
Tor Project强调这不是Tor的0 day漏洞,这只是可以绕过NoScript隐私保护的NoScript的bug。
Zerodium CEO Chaouki Bekrar表示,该漏洞可以绕过NoScript提供的安全保护,即使Tor浏览器被设定为最高安全等级(“Safest” security level),利用该漏洞可以执行任意的JS代码。而且Zerodium几个月前获得了该漏洞,并已经与*客户分享该漏洞情报。
Tor浏览器项目说Zerodium在Twitter上公布该漏洞是非常不负责任的,而Zerodium反驳了这一观点,称他们决定披露该漏洞是因为最新发布的Tor Browser 8.0 不受影响,它的生命期已经结束。漏洞本身不会暴露数据,需要与其它漏洞利用方法组合使用。