标签：NoScript 浏览器 Tor Zerodium 漏洞 代码执行 Browser

Zerodium公开Tor浏览器0day代码执行漏洞 被喷“不负责任”

ang010ela 嘶吼专业版

专门购买漏洞的安全经纪公司Zerodium在Twitter公布了Tor Browser的一个0 day漏洞。该漏洞能绕过Tor/NoScript最高安全级别的保护，允许恶意代码在浏览器上运行。漏洞影响Tor Browser 7.x，但不影响最新发布的Tor Browser 8.0。

Tweet文中描述了Tor浏览器的漏洞（后门），其实该漏洞影响的是NoScript，一个只允许JavaScript、Java、Flash插件在可信站点上执行的非常流行的Firefox扩展，NoScript扩展可以保护用户免受恶意脚本的***。而Tor浏览器是基于Firefox的，而且默认包含了NoScript。

NoScript的开发者Giorgio Maone在5.1.8.7版本发布2小时就修复了该漏洞，并称该漏洞只影响NoScript 5的classic分支。Maone解释说该bug存在于拦截浏览器内JSON viewer的NoScript。该漏洞从NoScript 5.0.4 2017年5月发布就一直存在了。

Tor Project强调这不是Tor的0 day漏洞，这只是可以绕过NoScript隐私保护的NoScript的bug。

Zerodium CEO Chaouki Bekrar表示，该漏洞可以绕过NoScript提供的安全保护，即使Tor浏览器被设定为最高安全等级（“Safest” security level），利用该漏洞可以执行任意的JS代码。而且Zerodium几个月前获得了该漏洞，并已经与政府客户分享该漏洞情报。

Tor浏览器项目说Zerodium在Twitter上公布该漏洞是非常不负责任的，而Zerodium反驳了这一观点，称他们决定披露该漏洞是因为最新发布的Tor Browser 8.0 不受影响，它的生命期已经结束。漏洞本身不会暴露数据，需要与其它漏洞利用方法组合使用。

标签：NoScript,浏览器,Tor,Zerodium,漏洞,代码执行,Browser
来源： https://blog.51cto.com/u_15127538/2714132

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。