URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115244
[ Назад ]
Исходное сообщение
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено opennews , 10-Сен-18 20:23
Компания Zerodium, скупающая (https://www.opennet.ru/opennews/art.shtml?num=47199) сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла (https://twitter.com/Zerodium/status/1039127214602641409) информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser.
Как оказалось NoScript не блокирует выполнения JavaScript кода в случае загрузки скриптов с некорректным Content-Type, который, тем не менее, воспринимается браузером. Например, при отдаче страницы с "Content-Type: text/html;/json" блокировка JavaScript не будет действовать. Проблема не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtention.
Разработчики NoScript оперативно выпустили (https://noscript.net/getit#classic) обновление 5.1.8.7 в котором устранили выявленную уязвимость. Проект Tor пока не сформировал (https://dist.torproject.org/torbrowser/) обновление ветки Tor Browser 7.x, поддержка которой формально уже прекращена.
URL: https://twitter.com/Zerodium/status/1039127214602641409
Новость: https://www.opennet.ru/opennews/art.shtml?num=49251
Содержание
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:23 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:45 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:45 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,pf.team, 03:01 , 12-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 00:09 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,pf.team, 03:03 , 12-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:25 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:47 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:29 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Уехавший, 21:07 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:47 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 04:48 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,нёх, 12:22 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 14:21 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,anonimbl, 06:15 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,ыы, 07:46 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:37 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,A.Stahl, 20:42 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,., 12:23 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,НяшМяш, 20:38 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,AnonPlus, 21:12 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 21:51 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:01 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 21:41 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 19:01 , 13-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 19:10 , 13-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 07:06 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,pf.team, 03:14 , 12-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,пох, 21:14 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 22:28 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Michael Shigorin, 23:27 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 22:31 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:02 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 23:06 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Майор, 23:50 , 10-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 04:50 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 18:56 , 13-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Kuromi, 01:49 , 11-Сен-18
- Чушь,Аноним, 13:00 , 23-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 06:07 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,anonimbl, 06:16 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 09:07 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,koblin, 12:11 , 11-Сен-18
- есть идея,СеменСеменыч777, 12:02 , 11-Сен-18
- есть идея,Planc, 14:20 , 11-Сен-18
- Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav...,Аноним, 20:39 , 13-Сен-18
Сообщения в этом обсуждении
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 20:23
> Проблема присутствует в классической ветке дополнения NoScript 5.xИнтересно, а до NoScript 5.x дырка была?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 20:45
Ага, вижу:
"Уязвимость вызвана исправлением, добавленном весной прошлого года в составе выпуска 5.0.4".
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 23:45
Как бы новость ниочем. Tor 8 вышел несколько дней назад. Кто не обновился - ССЗБ.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено pf.team , 12-Сен-18 03:01
ССЗБ тот, кто обновляется не глядя во что он обновляется.Приглашаю вас сюда: https://trac.torproject.org/projects/tor/query?status=accept...
Отведаем лишь несколько самых вкусных билетов.
#22176 - не завершено ревью кода сетевого стека браузера. Проблеме 16 месяцев.
#26557 - от одной восьмерочной альфы к другой повысилась точно фингерпринта клавиатуры. Но это цветочки.
#26146 - вот это ягодки. Теперь TorBrowser честно рассказывает всем под какой ОС он запущен. Большой привет всем анонимам под линуксом. Посмотрите на результаты https://panopticlick.eff.org/, порадуйтесь.
#26513 - тот самый NoScript. До 10.х версии на экстеншнах обновили, но ревью на предмет багов и дыр в безопасности так и не сделали. Еще и потеряли в функционале на фоне XUL версии.
#27553 - а вот результат предыдущего билета. Если вы сохранили документ со скриптами, а потом открываете его на локалхосте, то внезапно скрипты _всегда_ будут выполняться. Независимо от настроек безопасности и NoScript. И отключить это можно только через javascript.enabled = false.
Дырку из новости можно заткнуть обновлением NoScript. Других значимых дырок пока неизвестно. А с этим всем вы что будете делать?
И это, к сожалению, далеко не все. Судя по залежалости билетов с приоритетами High и Very High, мы теперь имеем относительно отлаженный но не поддерживаемый TB 7. И сырую поделку которую еще пилить и пилить. Еще советую почитать комментарии к анонсу 8.0 релиза. Там тоже много волнений.
Учитывая что ребята из TB схватились за мобильную версию, видимо что бы нарастить массовость, перспективы десктопной версии выглядят плохо. А это печально, потому что контент производится на десктопах. Именно их пользователи обычно являются целью деанона.
Ну а про "анонимность" под андроидом даже и говорить не хочется.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 11-Сен-18 00:09
>Интересно, а до NoScript 5.x дырка была? Не зря не доверял. Пользовался about:config -> javascript.enabled -> false
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено pf.team , 12-Сен-18 03:03
И правильно делали. В 8й версии тоже похожая дырка. Боюсь что мы еще много неприятного узнаем, т.к. ревью кода NoScript на экстеншнах не было. См. мой камент выше.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 20:25
> Проблема не проявляется ... на WebExtentionНу чо, не зря переходили
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 23:47
И правда, а еще новый Tor очень быстро работает, ибо Quantum.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 20:29
>noscriptзачем оно нужно, когда есть umatrix?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Уехавший , 10-Сен-18 21:07
Ага, который ломает 99% всех сайтов. Очень приятно заполнять огромную форму, которая потом тупо никуда невозможно отправить.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 23:47
Пользуюсь 2 года, ничего не ломает.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 11-Сен-18 04:48
для всяких нех нужно просто юзать чистый обособленный профиль. Всякие агрегаторы и сторы авиабилетов, или еще какие поделия, и без матрикса часто глючат. Тут уж пинать вебразрабов надо. Им вообще полезно по ушам надавать, что б не городили свистяще-глючащий гуй.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено нёх , 11-Сен-18 12:22
ну и вот ты хочешь, чтобы весь мир знал что условный Серега Петров (имя как в паспорте, перепроверьте, пожалуйста, прежде чем нажать "оплата") купил билет НН-Мале, даты вылета, авиакомпания, цена, номер брони(!) и еще массу всего интересного?да, именно вот это все сливается даже не агрегаторами, а авиакомпаниями напрямую.
если ты всем этим уже поделился с окружающими - какой смысл в этом "обособленном профиле"?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 11-Сен-18 14:21
Чтобы тебе как постоянному клиенту надбавку к стоимости билета не делали. Как постоянному клиенту полагается спец тариф, так как ты и так о нас знаешь поэтому тебе скидок не положено.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено anonimbl , 11-Сен-18 06:15
Пользоваться научитесь, тогда ничего не будет ломаться.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено ыы , 11-Сен-18 07:46
Возможно он действительно что-то блокирует?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 20:37
>Проблема не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtention. Значит ли это, что в новых ветках ещё более серьёзная уязвимость, ради создания панической миграции на новую версию с которой можно и ту раскрыть?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено A.Stahl , 10-Сен-18 20:42
Нет, это значит лишь что земляной диск покоится не на восьми слонах, а лишь на 2пи слонах.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено . , 11-Сен-18 12:23
"а черепаха - на скотче!"(c)bash
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено НяшМяш , 10-Сен-18 20:38
Красавчики, дождались когда Мозилла запретит старые дополнения обновлять и раскрыли уязвимость.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено AnonPlus , 10-Сен-18 21:12
Пользователям TB всё равно уже обновление до 8.0 прилетело, а эта версия поддерживает WebExt. Ну а если пользователь беспокоится о своей анонимности, но сидит на неподдерживаемом браузере... это не очень умный пользователь.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 21:51
новый - не значит "лучший". Новый в данном случае - "с новыми зондами".
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 23:01
Можно обновить накрайняк NoScript в ТВ 7
ибо 8 версия тяжелая для старых машин
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 11-Сен-18 21:41
Да не тяжёлая она. Просто е10s надо отключить. Единственная проблема - хрюшу дропнули.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 13-Сен-18 19:01
Что это?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 13-Сен-18 19:10
Мультипроцессность? При отключении какие последствия?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 11-Сен-18 07:06
И расскажи мне, о добрый человек, и как сие новое безобразие запустить на архитектуре, для которой RUSTC запилить заб(ы|и)ли?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено pf.team , 12-Сен-18 03:14
Наивный. Смотрите сюда: https://www.opennet.ru/opennews/art.shtml?num=49251#46
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено пох , 10-Сен-18 21:14
те, кто позволили мурзиле себе что-то там разрешать или запрещать - должны же страдать?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 22:28
Никто никому ничего не должен.
Чем вы раньше это поймёте, тем лучше будете жить.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Michael Shigorin , 10-Сен-18 23:27
> Никто никому ничего не должен.
> Чем вы раньше это поймёте, тем лучше будете жить.В жизни есть одна интересная точка, тем не менее...
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 22:31
https://onpon4.github.io/articles/kill-js.html
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 23:02
Что это??
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 10-Сен-18 23:06
Да не обращай внимания: чувак ошибочно думает, что если полностью отказаться от JavaScript, то проблемы исчезнут. Мое мнение таково: чтобы все проблемы исчезли, нужно провести геноцид всего человечества.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Майор , 10-Сен-18 23:50
Призываете? А это 282, дорогой товарищ...
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 11-Сен-18 04:50
а ты майор МВД или военный майор?
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 13-Сен-18 18:56
Описка. Он хотел написать "Мажор"
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Kuromi , 11-Сен-18 01:49
"Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись**, для ручной установки обновления XUL-дополнения в старых версиях Firefox в about:config следует деактивировать параметр xpinstall.signatures.required."Восхитительно. Вот так и бьют по голове DRM-подобные примочки "Огороженных садов"- разработчик и рад, что редкость, пропатчить старое дополнение, но "официально" он сделать это уже не может так как Мозилла считает, что она знает лучше за него, за вас и вообще за всех.
Что же до бага...ну, зато WebExt версия любит периодически сходить с ума и блокировать вообще все, включая разрешенное...
"Чушь"
Отправлено Аноним , 23-Сен-18 13:00
>"Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подписьАвтор новости преувеличил: Mozilla прекратила приём обновлений для старых дополнений в каталог AMO только для Firefox, но есть хак, позволяющий обойти ограничение — нужно в список поддерживаемых дополнением приложений добавить левое поддерживаемое (например, SeaMonkey) и всё заработает. Вот пример дополнения (за май 2018 года, после первых отключений): https://web.archive.org/web/20180923095116/https://addons.mo.../ .
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 11-Сен-18 06:07
about:config -> disable js
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено anonimbl , 11-Сен-18 06:16
Umatrix.
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 11-Сен-18 09:07
А зачем СКУПАТЬ сведения о выявленных уязвимостях?..
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено koblin , 11-Сен-18 12:11
чтобы потом продавать, очевидно же
"есть идея"
Отправлено СеменСеменыч777 , 11-Сен-18 12:02
что если делать аддоны в виде патчей к исходникам фаерфокса ?
"есть идея"
Отправлено Planc , 11-Сен-18 14:20
Это вам к https://suckless.org
"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Отправлено Аноним , 13-Сен-18 20:39
Как заставить сабж по умолчанию блокировать скипты?
Изменения во вкладке default не сохраняются.