Компания Zerodium, скупающая (https://www.opennet.ru/opennews/art.shtml?num=47199) сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла (https://twitter.com/Zerodium/status/1039127214602641409) информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения  NoScript 5.x, которое входит в состав Tor Browser.

Как оказалось  NoScript не блокирует выполнения JavaScript кода в случае загрузки скриптов с некорректным Content-Type, который, тем не менее, воспринимается браузером. Например, при отдаче страницы с "Content-Type: text/html;/json" блокировка JavaScript  не будет действовать. Проблема не проявляется в ветках Tor Browser 8.x и  NoScript 10.x, переведённых на технологию WebExtention.

Разработчики NoScript оперативно выпустили (https://noscript.net/getit#classic) обновление 5.1.8.7 в котором устранили выявленную уязвимость. Проект Tor пока не сформировал (https://dist.torproject.org/torbrowser/) обновление ветки Tor Browser 7.x, поддержка которой формально уже прекращена.

URL: https://twitter.com/Zerodium/status/1039127214602641409
Новость: https://www.opennet.ru/opennews/art.shtml?num=49251

• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:23 , 10-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:45 , 10-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:45 , 10-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,pf.team, 03:01 , 12-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 00:09 , 11-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,pf.team, 03:03 , 12-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:25 , 10-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:47 , 10-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:29 , 10-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Уехавший, 21:07 , 10-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:47 , 10-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 04:48 , 11-Сен-18
      • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,нёх, 12:22 , 11-Сен-18
        • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 14:21 , 11-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,anonimbl, 06:15 , 11-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,ыы, 07:46 , 11-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:37 , 10-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,A.Stahl, 20:42 , 10-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,., 12:23 , 11-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,НяшМяш, 20:38 , 10-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,AnonPlus, 21:12 , 10-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 21:51 , 10-Сен-18
      • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:01 , 10-Сен-18
        • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 21:41 , 11-Сен-18
          • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 19:01 , 13-Сен-18
          • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 19:10 , 13-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 07:06 , 11-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,pf.team, 03:14 , 12-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,пох, 21:14 , 10-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 22:28 , 10-Сен-18
      • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Michael Shigorin, 23:27 , 10-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 22:31 , 10-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:02 , 10-Сен-18
    • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:06 , 10-Сен-18
      • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Майор, 23:50 , 10-Сен-18
        • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 04:50 , 11-Сен-18
          • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 18:56 , 13-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Kuromi, 01:49 , 11-Сен-18
  • Чушь,Аноним, 13:00 , 23-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 06:07 , 11-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,anonimbl, 06:16 , 11-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 09:07 , 11-Сен-18
  • Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,koblin, 12:11 , 11-Сен-18
• есть идея,СеменСеменыч777, 12:02 , 11-Сен-18
  • есть идея,Planc, 14:20 , 11-Сен-18
• Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:39 , 13-Сен-18

> Проблема присутствует в классической ветке дополнения NoScript 5.x

Интересно, а до NoScript 5.x дырка была?

Ага, вижу:
"Уязвимость вызвана исправлением, добавленном весной прошлого года в составе выпуска 5.0.4".

Как бы новость ниочем. Tor 8 вышел несколько дней назад. Кто не обновился - ССЗБ.

ССЗБ тот, кто обновляется не глядя во что он обновляется.

Приглашаю вас сюда: https://trac.torproject.org/projects/tor/query?status=accept...

Отведаем лишь несколько самых вкусных билетов.

#22176 - не завершено ревью кода сетевого стека браузера. Проблеме 16 месяцев.
#26557 - от одной восьмерочной альфы к другой повысилась точно фингерпринта клавиатуры. Но это цветочки.
#26146 - вот это ягодки. Теперь TorBrowser честно рассказывает всем под какой ОС он запущен. Большой привет всем анонимам под линуксом. Посмотрите на результаты https://panopticlick.eff.org/, порадуйтесь.
#26513 - тот самый NoScript. До 10.х версии на экстеншнах обновили, но ревью на предмет багов и дыр в безопасности так и не сделали. Еще и потеряли в функционале на фоне XUL версии.
#27553 - а вот результат предыдущего билета. Если вы сохранили документ со скриптами, а потом открываете его на локалхосте, то внезапно скрипты _всегда_ будут выполняться. Независимо от настроек безопасности и NoScript. И отключить это можно только через javascript.enabled = false.

Дырку из новости можно заткнуть обновлением NoScript. Других значимых дырок пока неизвестно. А с этим всем вы что будете делать?

И это, к сожалению, далеко не все. Судя по залежалости билетов с приоритетами High и Very High, мы теперь имеем относительно отлаженный но не поддерживаемый TB 7. И сырую поделку которую еще пилить и пилить. Еще советую почитать комментарии к анонсу 8.0 релиза. Там тоже много волнений.

Учитывая что ребята из TB схватились за мобильную версию, видимо что бы нарастить массовость, перспективы десктопной версии выглядят плохо. А это печально, потому что контент производится на десктопах. Именно их пользователи обычно являются целью деанона.
Ну а про "анонимность" под андроидом даже и говорить не хочется.

>Интересно, а до NoScript 5.x дырка была?

Не зря не доверял. Пользовался about:config -> javascript.enabled -> false

И правильно делали. В 8й версии тоже похожая дырка. Боюсь что мы еще много неприятного узнаем, т.к. ревью кода NoScript на экстеншнах не было. См. мой камент выше.

> Проблема не проявляется ... на WebExtention

Ну чо, не зря переходили

И правда, а еще новый Tor очень быстро работает, ибо Quantum.

>noscript

зачем оно нужно, когда есть umatrix?

Ага, который ломает 99% всех сайтов. Очень приятно заполнять огромную форму, которая потом тупо никуда невозможно отправить.

Пользуюсь 2 года, ничего не ломает.

для всяких нех нужно просто юзать чистый обособленный профиль. Всякие агрегаторы и сторы авиабилетов, или еще какие поделия, и без матрикса часто глючат. Тут уж пинать вебразрабов надо. Им вообще полезно по ушам надавать, что б не городили свистяще-глючащий гуй.

ну и вот ты хочешь, чтобы весь мир знал что условный Серега Петров (имя как в паспорте, перепроверьте, пожалуйста, прежде чем нажать "оплата") купил билет НН-Мале, даты вылета, авиакомпания, цена, номер брони(!) и еще массу всего интересного?

да, именно вот это все сливается даже не агрегаторами, а авиакомпаниями напрямую.

если ты всем этим уже поделился с окружающими - какой смысл в этом "обособленном профиле"?

Чтобы тебе как постоянному клиенту надбавку к стоимости билета не делали. Как постоянному клиенту полагается спец тариф, так как ты и так о нас знаешь поэтому тебе скидок не положено.

Пользоваться научитесь, тогда ничего не будет ломаться.

Возможно он действительно что-то блокирует?

>Проблема не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtention.

Значит ли это, что в новых ветках ещё более серьёзная уязвимость, ради создания панической миграции на новую версию с которой можно и ту раскрыть?

Нет, это значит лишь что земляной диск покоится не на восьми слонах, а лишь на 2пи слонах.

"а черепаха - на скотче!"(c)bash

Красавчики, дождались когда Мозилла запретит старые дополнения обновлять и раскрыли уязвимость.

Пользователям TB всё равно уже обновление до 8.0 прилетело, а эта версия поддерживает WebExt. Ну а если пользователь беспокоится о своей анонимности, но сидит на неподдерживаемом браузере... это не очень умный пользователь.

новый - не значит "лучший". Новый в данном случае - "с новыми зондами".

Можно обновить накрайняк NoScript в ТВ 7
ибо 8 версия тяжелая для старых машин

Да не тяжёлая она. Просто е10s надо отключить. Единственная проблема - хрюшу дропнули.

Что это?

Мультипроцессность? При отключении какие последствия?

И расскажи мне, о добрый человек, и как сие новое безобразие запустить на архитектуре, для которой RUSTC запилить заб(ы|и)ли?

Наивный. Смотрите сюда: https://www.opennet.ru/opennews/art.shtml?num=49251#46

те, кто позволили мурзиле себе что-то там разрешать или запрещать - должны же страдать?

Никто никому ничего не должен.
Чем вы раньше это поймёте, тем лучше будете жить.

> Никто никому ничего не должен.
> Чем вы раньше это поймёте, тем лучше будете жить.

В жизни есть одна интересная точка, тем не менее...

https://onpon4.github.io/articles/kill-js.html

Что это??

Да не обращай внимания: чувак ошибочно думает, что если полностью отказаться от JavaScript, то проблемы исчезнут. Мое мнение таково: чтобы все проблемы исчезли, нужно провести геноцид всего человечества.

Призываете? А это 282, дорогой товарищ...

а ты майор МВД или военный майор?

Описка. Он хотел написать "Мажор"

"Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись**, для ручной установки обновления XUL-дополнения в старых версиях Firefox в about:config следует деактивировать параметр xpinstall.signatures.required."

Восхитительно. Вот так и бьют по голове DRM-подобные примочки "Огороженных садов"- разработчик и рад, что редкость, пропатчить старое дополнение, но "официально" он сделать это уже не может так как Мозилла считает, что она знает лучше за него, за вас и вообще за всех.

Что же до бага...ну, зато WebExt версия любит периодически сходить с ума и блокировать вообще все, включая разрешенное...

>"Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись

Автор новости преувеличил: Mozilla прекратила приём обновлений для старых дополнений в каталог AMO только для Firefox, но есть хак, позволяющий обойти ограничение — нужно в список поддерживаемых дополнением приложений добавить левое поддерживаемое (например, SeaMonkey) и всё заработает. Вот пример дополнения (за май 2018 года, после первых отключений): https://web.archive.org/web/20180923095116/https://addons.mo.../ .

about:config -> disable js

Umatrix.

А зачем СКУПАТЬ сведения о выявленных уязвимостях?..

чтобы потом продавать, очевидно же

что если делать аддоны в виде патчей к исходникам фаерфокса ?

Это вам к https://suckless.org

Как заставить сабж по умолчанию блокировать скипты?
Изменения во вкладке default не сохраняются.