F-117@losena.ru

МЕНЮ

НАШИ ПРОЕКТЫ

АРХИВ

Февраль 2021 (30)
Январь 2021 (12)
Декабрь 2020 (18)
Ноябрь 2020 (45)
Октябрь 2020 (18)
Сентябрь 2020 (15)

ОПРОСЫ

Инвестируете или торгуете на бинарных опционах?

Проект LosenaGroupTeam » Полезные программы » Пользователям веб-браузера Tor рекомендуют обновить до версии 6.0.5.

Пользователям веб-браузера Tor рекомендуют обновить до версии 6.0.5.


Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее до актуальной версии 6.0.5. Новая версия веб-браузера включает в себя исправление серьезной уязвимости Firefox с внутренним идентификатором ESR-45, которая позволяет атакующим, получившим в распоряжение действительный или фальшивый цифровой сертификат TLS для веб-сайта addons.mozilla.org, удаленно устанавливать вредоносное ПО через доставку вредоносного обновления для расширения NoScript.

Сама уязвимость (Tor Browser certificate pinning bypass for addons.mozilla.org) позволяет подготовленным атакующим организовать скрытную RCE-атаку на пользователей веб-браузера Tor на различных платформах, включая, Windows, Linux, и OS X.
Для эксплуатации уязвимости используются и другие слабые места Firefox, например, возможность подписывать цифровой подписью расширения на основе полностью автоматического процесса. Процесс атаки может состоять из следующих этапов.

Разработать вредоносное расширение с нужным для атакующих кодом, а затем подписать его у Mozilla.
Сгенерировать фальшивый цифровой сертификат для addons.mozilla.org, который может пройти проверку любого CA из хранилища Firefox (является весьма сложной задачей, но не является невыполнимой для state-sponsored атакующих).
Организовать MitM-атаку на трафик, проходящий между addons.mozilla.org и системой жертвы при обновлении NoScript.
Вредоносное расширение доставляется предполагаемой жертве вместо его легитимного обновления.

Мы рекомендуем пользователям обновить свою копию веб-браузера до версии 6.0.5.

  • 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.

Яндекс цитирования
Рейтинг@Mail.ru