The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от opennews (??), 10-Сен-18, 20:23 
Компания Zerodium, скупающая (https://www.opennet.ru/opennews/art.shtml?num=47199) сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла (https://twitter.com/Zerodium/status/1039127214602641409) информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения  NoScript 5.x, которое входит в состав Tor Browser.


Как оказалось  NoScript не блокирует выполнения JavaScript кода в случае загрузки скриптов с некорректным Content-Type, который, тем не менее, воспринимается браузером. Например, при отдаче страницы с "Content-Type: text/html;/json" блокировка JavaScript  не будет действовать. Проблема не проявляется в ветках Tor Browser 8.x и  NoScript 10.x, переведённых на технологию WebExtention.


Разработчики NoScript оперативно выпустили (https://noscript.net/getit#classic) обновление 5.1.8.7 в котором устранили выявленную уязвимость. Проект Tor пока не сформировал (https://dist.torproject.org/torbrowser/) обновление ветки Tor Browser 7.x, поддержка которой формально уже прекращена.


URL: https://twitter.com/Zerodium/status/1039127214602641409
Новость: https://www.opennet.ru/opennews/art.shtml?num=49251

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (1), 10-Сен-18, 20:23 
> Проблема присутствует в классической ветке дополнения NoScript 5.x

Интересно, а до NoScript 5.x дырка была?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (1), 10-Сен-18, 20:45 
Ага, вижу:
"Уязвимость вызвана исправлением, добавленном весной прошлого года в составе выпуска 5.0.4".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +9 +/
Сообщение от Аноним (-), 10-Сен-18, 23:45 
Как бы новость ниочем. Tor 8 вышел несколько дней назад. Кто не обновился - ССЗБ.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

46. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +3 +/
Сообщение от pf.team (ok), 12-Сен-18, 03:01 
ССЗБ тот, кто обновляется не глядя во что он обновляется.

Приглашаю вас сюда: https://trac.torproject.org/projects/tor/query?status=accept...

Отведаем лишь несколько самых вкусных билетов.

#22176 - не завершено ревью кода сетевого стека браузера. Проблеме 16 месяцев.
#26557 - от одной восьмерочной альфы к другой повысилась точно фингерпринта клавиатуры. Но это цветочки.
#26146 - вот это ягодки. Теперь TorBrowser честно рассказывает всем под какой ОС он запущен. Большой привет всем анонимам под линуксом. Посмотрите на результаты https://panopticlick.eff.org/, порадуйтесь.
#26513 - тот самый NoScript. До 10.х версии на экстеншнах обновили, но ревью на предмет багов и дыр в безопасности так и не сделали. Еще и потеряли в функционале на фоне XUL версии.
#27553 - а вот результат предыдущего билета. Если вы сохранили документ со скриптами, а потом открываете его на локалхосте, то внезапно скрипты _всегда_ будут выполняться. Независимо от настроек безопасности и NoScript. И отключить это можно только через javascript.enabled = false.

Дырку из новости можно заткнуть обновлением NoScript. Других значимых дырок пока неизвестно. А с этим всем вы что будете делать?

И это, к сожалению, далеко не все. Судя по залежалости билетов с приоритетами High и Very High, мы теперь имеем относительно отлаженный но не поддерживаемый TB 7. И сырую поделку которую еще пилить и пилить. Еще советую почитать комментарии к анонсу 8.0 релиза. Там тоже много волнений.

Учитывая что ребята из TB схватились за мобильную версию, видимо что бы нарастить массовость, перспективы десктопной версии выглядят плохо. А это печально, потому что контент производится на десктопах. Именно их пользователи обычно являются целью деанона.
Ну а про "анонимность" под андроидом даже и говорить не хочется.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +1 +/
Сообщение от Аноним (23), 11-Сен-18, 00:09 
>Интересно, а до NoScript 5.x дырка была?

Не зря не доверял. Пользовался about:config -> javascript.enabled -> false

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

47. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от pf.team (ok), 12-Сен-18, 03:03 
И правильно делали. В 8й версии тоже похожая дырка. Боюсь что мы еще много неприятного узнаем, т.к. ревью кода NoScript на экстеншнах не было. См. мой камент выше.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

2. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  –1 +/
Сообщение от Аноним (2), 10-Сен-18, 20:25 
> Проблема не проявляется ... на WebExtention

Ну чо, не зря переходили

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +3 +/
Сообщение от Аноним (-), 10-Сен-18, 23:47 
И правда, а еще новый Tor очень быстро работает, ибо Quantum.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +7 +/
Сообщение от Аноним (-), 10-Сен-18, 20:29 
>noscript

зачем оно нужно, когда есть umatrix?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  –13 +/
Сообщение от Уехавший (?), 10-Сен-18, 21:07 
Ага, который ломает 99% всех сайтов. Очень приятно заполнять огромную форму, которая потом тупо никуда невозможно отправить.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +6 +/
Сообщение от Аноним (-), 10-Сен-18, 23:47 
Пользуюсь 2 года, ничего не ломает.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

26. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +2 +/
Сообщение от Аноним (-), 11-Сен-18, 04:48 
для всяких нех нужно просто юзать чистый обособленный профиль. Всякие агрегаторы и сторы авиабилетов, или еще какие поделия, и без матрикса часто глючат. Тут уж пинать вебразрабов надо. Им вообще полезно по ушам надавать, что б не городили свистяще-глючащий гуй.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

40. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от нёх (?), 11-Сен-18, 12:22 
ну и вот ты хочешь, чтобы весь мир знал что условный Серега Петров (имя как в паспорте, перепроверьте, пожалуйста, прежде чем нажать "оплата") купил билет НН-Мале, даты вылета, авиакомпания, цена, номер брони(!) и еще массу всего интересного?

да, именно вот это все сливается даже не агрегаторами, а авиакомпаниями напрямую.

если ты всем этим уже поделился с окружающими - какой смысл в этом "обособленном профиле"?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

43. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (43), 11-Сен-18, 14:21 
Чтобы тебе как постоянному клиенту надбавку к стоимости билета не делали. Как постоянному клиенту полагается спец тариф, так как ты и так о нас знаешь поэтому тебе скидок не положено.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

29. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от anonimbl (?), 11-Сен-18, 06:15 
Пользоваться научитесь, тогда ничего не будет ломаться.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

34. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от ыы (?), 11-Сен-18, 07:46 
Возможно он действительно что-то блокирует?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

4. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  –2 +/
Сообщение от Аноним (4), 10-Сен-18, 20:37 
>Проблема не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtention.

Значит ли это, что в новых ветках ещё более серьёзная уязвимость, ради создания панической миграции на новую версию с которой можно и ту раскрыть?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от A.Stahl (ok), 10-Сен-18, 20:42 
Нет, это значит лишь что земляной диск покоится не на восьми слонах, а лишь на 2пи слонах.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

41. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от . (?), 11-Сен-18, 12:23 
"а черепаха - на скотче!"(c)bash
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

5. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +6 +/
Сообщение от НяшМяш (ok), 10-Сен-18, 20:38 
Красавчики, дождались когда Мозилла запретит старые дополнения обновлять и раскрыли уязвимость.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +1 +/
Сообщение от AnonPlus (?), 10-Сен-18, 21:12 
Пользователям TB всё равно уже обновление до 8.0 прилетело, а эта версия поддерживает WebExt. Ну а если пользователь беспокоится о своей анонимности, но сидит на неподдерживаемом браузере... это не очень умный пользователь.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +1 +/
Сообщение от Аноним (4), 10-Сен-18, 21:51 
новый - не значит "лучший". Новый в данном случае - "с новыми зондами".
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (-), 10-Сен-18, 23:01 
Можно обновить накрайняк NoScript в ТВ 7
ибо 8 версия тяжелая для старых машин
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

45. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (4), 11-Сен-18, 21:41 
Да не тяжёлая она. Просто е10s надо отключить. Единственная проблема - хрюшу дропнули.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

50. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (-), 13-Сен-18, 19:01 
Что это?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (-), 13-Сен-18, 19:10 
Мультипроцессность? При отключении какие последствия?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

32. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (32), 11-Сен-18, 07:06 
И расскажи мне, о добрый человек, и как сие новое безобразие запустить на архитектуре, для которой RUSTC запилить заб(ы|и)ли?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

48. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от pf.team (ok), 12-Сен-18, 03:14 
Наивный. Смотрите сюда: https://www.opennet.ru/opennews/art.shtml?num=49251#46
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  –4 +/
Сообщение от пох (?), 10-Сен-18, 21:14 
те, кто позволили мурзиле себе что-то там разрешать или запрещать - должны же страдать?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +2 +/
Сообщение от Аноним (12), 10-Сен-18, 22:28 
Никто никому ничего не должен.
Чем вы раньше это поймёте, тем лучше будете жить.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 10-Сен-18, 23:27 
> Никто никому ничего не должен.
> Чем вы раньше это поймёте, тем лучше будете жить.

В жизни есть одна интересная точка, тем не менее...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  –3 +/
Сообщение от Аноним (13), 10-Сен-18, 22:31 
https://onpon4.github.io/articles/kill-js.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +1 +/
Сообщение от Аноним (-), 10-Сен-18, 23:02 
Что это??
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (16), 10-Сен-18, 23:06 
Да не обращай внимания: чувак ошибочно думает, что если полностью отказаться от JavaScript, то проблемы исчезнут. Мое мнение таково: чтобы все проблемы исчезли, нужно провести геноцид всего человечества.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +1 +/
Сообщение от Майор (??), 10-Сен-18, 23:50 
Призываете? А это 282, дорогой товарищ...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +1 +/
Сообщение от Аноним (-), 11-Сен-18, 04:50 
а ты майор МВД или военный майор?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

49. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (-), 13-Сен-18, 18:56 
Описка. Он хотел написать "Мажор"
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

24. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  –2 +/
Сообщение от Kuromi (ok), 11-Сен-18, 01:49 
"Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись**, для ручной установки обновления XUL-дополнения в старых версиях Firefox в about:config следует деактивировать параметр xpinstall.signatures.required."

Восхитительно. Вот так и бьют по голове DRM-подобные примочки "Огороженных садов"- разработчик и рад, что редкость, пропатчить старое дополнение, но "официально" он сделать это уже не может так как Мозилла считает, что она знает лучше за него, за вас и вообще за всех.

Что же до бага...ну, зато WebExt версия любит периодически сходить с ума и блокировать вообще все, включая разрешенное...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Чушь"  +/
Сообщение от Аноним (53), 23-Сен-18, 13:00 
>"Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись

Автор новости преувеличил: Mozilla прекратила приём обновлений для старых дополнений в каталог AMO только для Firefox, но есть хак, позволяющий обойти ограничение — нужно в список поддерживаемых дополнением приложений добавить левое поддерживаемое (например, SeaMonkey) и всё заработает. Вот пример дополнения (за май 2018 года, после первых отключений): https://web.archive.org/web/20180923095116/https://addons.mo.../ .

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  –1 +/
Сообщение от Аноним (28), 11-Сен-18, 06:07 
about:config -> disable js
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от anonimbl (?), 11-Сен-18, 06:16 
Umatrix.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (35), 11-Сен-18, 09:07 
А зачем СКУПАТЬ сведения о выявленных уязвимостях?..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от koblin (ok), 11-Сен-18, 12:11 
чтобы потом продавать, очевидно же
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

36. "есть идея"  +/
Сообщение от СеменСеменыч777 (?), 11-Сен-18, 12:02 
что если делать аддоны в виде патчей к исходникам фаерфокса ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "есть идея"  +/
Сообщение от Planc (?), 11-Сен-18, 14:20 
Это вам к https://suckless.org
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

52. "Уязвимость в NoScript 5.x, позволяющая обойти отключение Jav..."  +/
Сообщение от Аноним (-), 13-Сен-18, 20:39 
Как заставить сабж по умолчанию блокировать скипты?
Изменения во вкладке default не сохраняются.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor