Tor在我电脑上的运行速度啊。。
这么讲吧,网页打开之后我已经忘记本来打算做什么了
心累
--------------------------------------------------------------------------------
Mozilla(缩写MF或MoFo)全称Mozilla基金会,是为支持和领导开源的Mozilla项目而设立的一个非营利组织。它把自己描述为“一个致力于在互联网领域提供多样化选择和创新的公益组织”。Tor通常用来匿名上网,一般自带一个浏览器,即Firefox。Firefox,是开源社区Mozilla开发的一款浏览器。
Mozilla计划发布一个火狐Firefox的更新版来解决此跨平台的RCE(远程代码执行)漏洞,它最近发行了Tor洋葱浏览器浏览器版本的补丁。
它计划修复对Tor产生匿名威胁的跨平台RCE漏洞。该漏洞影响到由Mozilla开发者网络的证书保护,可以被攻击者利用来冒充Mozilla服务器,通过伪造证书的发起中间人(MITM)攻击。Tor邀用户快点更新安全工具,Mozilla紧随其后发行补丁。
技术门槛——数百个域的伪证书
根据TorProject,一旦攻击者的立场是要推出一个中间人攻击,他能打造一个独立的addons.mozilla.org TLS证书,他可以在NoScript或许多其他火狐扩展程序中注入恶意交互更新。
研究员Ryan Duff写道:“我花了一天时间仔细考虑Tor-Fork开发者的索求,如果你既能够连接一个中间人(MITM)攻击,又能为addons.mozilla.org伪造一个单独的TLS证书,便可以获得一个跨平台的RCE。这能体现任何体一个体面的国家的资源和能力。”
假证书必须得由一个火狐信任的证书颁发机构(CA)颁发。对常见的能够伪造addons.mozilla.org证书的攻击者,这种攻击也很有技术难度。不论是国家级的行动者,还是经常性的攻击者,都可以利用该漏洞对被保护的流量或匿名Tor用户发起攻击和窃听,然而这存在具体风险。
持续的攻击者能以伪造数字证书的意图对准CA。2011年,据称与伊朗政府有染的黑客入侵荷兰的CA DigiNotar,并颁发了数百个域的伪造证书,包括Mozilla的附加域。
Firefox的决断——HPKP方法
Ryan Duff解释说:“Firefox的新版本受到了此缺陷的影响。但是,9月4日发布的版本是不易被入侵的。火狐使用它自己的静态密钥固定方法而非基于HPKP的它自己的Mozilla证书。此静态方法执行起来似乎比HPKP方法弱得多,且在这种攻击它有旁路缺陷。9月4日火狐似乎修复了这个bug,但显然当前的火狐和Tor浏览器的版本都还未打补丁。”
Duff分析了跨平台RCE并再现了研究员@ movrcx提到的攻击过程。”@ movrcx的研究名为,“Tor 浏览器暴露信息记录,植入大规模的反隐私机制”, Firefox的“证书pinning”机制对这里提到的攻击是无效的。Duff强调,问题的关键在于,一个静态 key pinning 并不总是基于HTTP的Public key pinning 协议。
Mozilla声明:“9月20日将发布新的火狐浏览器。我们将对addons.mozilla.org服务器打开HPKP,以便用户保护他们曾经访问过的网站,即使内置引脚到期了,也能持续保护用户隐私。我们将改变我们的内部流程,所以内置的证书引脚不会在未来的版本中过早发行。”
等更新后,用户应考虑停止自动接受扩展更新。
本文由漏洞银行(BUGBANK.cn)小编 Feya 翻译,源文译自 securityaffairs.co。
作者:Feya
链接:http://www.bugbank.cn/news/detail/57e0a27849eaa4df1311fecb.html
来源:漏洞银行
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
428
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
