龙8国际官网下载

龙8国际官网下载卡卡龙8国际官网下载安装论坛技术交流区反病毒/反流氓软件论坛 龙8国际官网下载预警:上暗网也不龙8国际官网下载安装 NoScript组件被曝漏洞

1   1  /  1  页   跳转

[转载] 龙8国际官网下载预警:上暗网也不龙8国际官网下载安装 NoScript组件被曝漏洞

龙8国际官网下载预警:上暗网也不龙8国际官网下载安装 NoScript组件被曝漏洞

近日,国外漏洞供应商“Zerodium”披露了一个Tor龙8国际娱乐pt老虎机漏洞,此漏洞会绕过Tor龙8国际娱乐pt老虎机与低版本的火狐龙8国际娱乐pt老虎机的龙8国际官网下载安装机制,龙8国际娱乐pt老虎机设置禁用脚本功能之后,仍然可以执行任意脚本,如果用户访问攻击者精心构造的网页,可能就会受到威胁。
Tor龙8国际娱乐pt老虎机(洋葱龙8国际娱乐pt老虎机)是一款可以匿名上网的龙8国际娱乐pt老虎机,用户通过Tor可以在互联网上进行匿名交流。Tor网络允许任何人,以完全匿名的形式浏览及访问互联网,且不受地域限制。除此之外,利用Tor网络我们还能到达自然搜索无法到达的网络空间(俗称的暗网)。

NoScript组件是Tor龙8国际娱乐pt老虎机与低版本火狐龙8国际娱乐pt老虎机的的扩展插件,而此组件存在漏洞,漏洞通过绕过NoScript的脚本阻止功能,允许恶意代码在Tor龙8国际娱乐pt老虎机中运行。

NoScript受影响版本:NoScript 5.0.4 — NoScript 5.1.8.6

NoScript 5.1.8.7 已修复此漏洞,若龙8国际娱乐pt老虎机开启了拓展组件自动更新功能,NoScript已更新到最新版本了,可以避免此漏洞。


图:禁用脚本,但脚本仍然运行成功,弹出窗口
龙8国际官网下载龙8国际官网下载安装专家提醒用户不需要恐慌,龙8国际娱乐pt老虎机默认是允许运行JS脚本的,平常浏览网站炫酷的界面也非常依赖JS脚本,因此运行脚本并不意味着不龙8国际官网下载安装。只不过这个漏洞是因为访问了攻击者构造的网页,即使龙8国际娱乐pt老虎机使用NoScript组件禁用脚本,但脚本仍然可以运行。因此,不访问可疑网站可以很大程度避免这种攻击。对于Tor龙8国际娱乐pt老虎机用户和使用了NoScript组件的火狐龙8国际娱乐pt老虎机用户,可以单独更新此组件或者更新龙8国际娱乐pt老虎机来修复此漏洞。


漏洞的详细信息:

Zerodium是一家购买和销售流行软件漏洞的公司,近日在Twitter上发布了有关Tor龙8国际娱乐pt老虎机零日漏洞的详细信息,Tor龙8国际娱乐pt老虎机是一款基于Firefox的龙8国际娱乐pt老虎机,隐私意识较强的用户常通过Tor网络提供的匿名性来浏览网页。

在一条推文中,Zerodium表示,该漏洞完全绕过了NoScript扩展的“最龙8国际官网下载安装”龙8国际官网下载安装级别,默认情况下包含在所有Tor龙8国际娱乐pt老虎机发行版中。NoScript是一种龙8国际娱乐pt老虎机扩展,它使用白名单方法让用户决定龙8国际娱乐pt老虎机可以从哪些域执行JavaScript,Flash,Java或Silverlight内容。它包含在所有Tor Browser发行版中,因为它为Tor Browser用户提供了额外的龙8国际官网下载安装层。

Zerodium公布的Tor零日漏洞通过绕过NoScript的脚本阻止功能,基本上允许恶意代码在Tor龙8国际娱乐pt老虎机中运行。根据Zerodium的说法,零日漏洞只影响Tor Browser 7.x系列。上周发布的Tor Browser 8.x分支机构不受影响。原因是Tor Browser 8.x系列将其底层代码库从较旧的Firefox核心切换到新的Firefox Quantum平台,该平台使用新的附加API。NoScript附加组件在去年年底被重写,以便在新的Firefox Quantum平台上运行,因此近日发布的零日漏洞不会影响新的Tor Browser 8.x系列。

在接受媒体采访时,NoScript扩展的作者Giorgio Maone表示零日是由NoScript阻止Tor龙8国际娱乐pt老虎机的龙8国际娱乐pt老虎机内JSON查看器引起的。在成功复现该问题后,Maone已经更新NoScript插件,以减轻零日影响。

在与媒体的电子邮件交流中,Zerodium首席执行官Chaouki Bekrar提供了近日公布的零日漏洞的详细信息。

Bekrar告诉媒体:“我们在2017年12月推出了针对Tor龙8国际娱乐pt老虎机的具体且有时间限制的漏洞奖励,我们已经收到并获得许多符合我们的要求的Tor龙8国际娱乐pt老虎机漏洞。这个Tor龙8国际娱乐pt老虎机漏洞被Zerodium在几个月前收购,并与我们的政府客户分享。我们已经决定披露这个漏洞,因为它已经到了生命周期的终点,它并没有影响上周发布的Tor Browser版本8.x我们还希望提高对主要组件缺乏(或不充分)龙8国际官网下载安装审核的认识,这些组件默认情况下捆绑在Tor龙8国际娱乐pt老虎机之中,并受到数百万用户的信任。”

“漏洞本身并不会泄露任何数据,因为它必须链接到其他漏洞利用,但它绕过了NoScript组件提供的Tor Browser最重要的龙8国际官网下载安装措施之一。如果用户将其Tor龙8国际娱乐pt老虎机龙8国际官网下载安装级别设置为最龙8国际官网下载安装,旨在阻止来自所有网站的所有JavaScript,例如为了防止利用漏洞,则所披露的漏洞将允许网站或隐藏服务绕过所有NoScript限制并执行任何JavaScript代码, 最龙8国际官网下载安装级别对龙8国际娱乐pt老虎机漏洞利用毫无用处。”

建议Tor Browser 7.x用户更新到Tor Browser 8.x,或者至少确保安装NoScript,作者Maone提供NoScript更新。含有漏洞的Tor Browser 7.5.6附带的NoScript版本是NoScript 5.1.8.6。NoScript作者Maone发布了NoScript 5.1.8.7,修复了零日漏洞。Maone还告诉媒体,该漏洞是在2017年5月11日发布的NoScript 5.0.4中引入的。

参考链接:

https://www.zdnet.com/article/exploit-vendor-drops-tor-browser-zero-day-on-twitter/
最后编辑麦青儿 最后编辑于 2018-09-13 11:38:29
分享到:
gototop
 

回复:龙8国际官网下载预警:上暗网也不龙8国际官网下载安装 NoScript组件被曝漏洞

感谢龙8国际官网下载提醒,长知识了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT 
龙8国际官网下载千亿国际娱乐网页版qy8千亿国际官网优乐娱乐国际城
齐乐娱乐在线优乐娱乐官网诚博娱乐优乐娱乐官网
齐乐娱乐在线千亿国际娱乐网页版qy8千亿国际官网亚虎娱乐平台
龙8国际官网下载龙8国际官网下载安装龙8国际娱乐pt老虎机优乐娱乐国际城
齐乐娱乐在线优乐娱乐官网诚博娱乐优乐娱乐官网