'Bug laat aanvaller JavaScript in Tor Browser 7 uitvoeren ondanks NoScript'

Zerodium, een bedrijf dat actief is als handelaar in kwetsbaarheden, waarschuwt voor een lek in versie 7.x van de Tor Browser, dat het mogelijk maakt om JavaScript uit te voeren ondanks dat de browser is ingesteld om dit te blokkeren. NoScript heeft een update gekregen.

tor-browser-safest — Niveaus in Tor Browser

Het bedrijf beschrijft de kwetsbaarheid in een tweet en meldt dat 'Tor Browser 7.x een ernstige kwetsbaarheid bevat die het mogelijk maakt om het veiligste niveau van de browser en NoScript te omzeilen'. Dat is een extensie die standaard scripts op webpagina's blokkeert, waarbij gebruikers een whitelist kunnen toepassen. De Tor Browser laat verschillende veiligheidsniveaus toe, waarbij 'safest' ook JavaScript op alle sites blokkeert. Het is onduidelijk of het bedrijf contact heeft opgenomen met het Tor Project om het lek te melden. De organisatie heeft nog niet op de publicatie gereageerd.

Volgens Zerodium is het mogelijk om het lek te misbruiken door de content-type-header op een pagina te veranderen naar: text/html;/json. Daardoor lijkt het vereist dat een aanvaller een slachtoffer naar een kwaadaardige pagina onder zijn beheer lokt. Beveiligingsonderzoeker x0rz heeft deze proof-of-concept getest en zegt dat deze eenvoudig toe te passen is. Hij publiceert een video op Twitter om zijn claim te ondersteunen. De bijbehorende code staat op GitHub. Hij raadt gebruikers aan een update naar de recent uitgekomen Tor Browser 8 uit te voeren. Die zou niet kwetsbaar zijn. NoScript Classic heeft inmiddels een patch doorgevoerd, naar versienummer 5.1.8.7.

Reacties (28)

Niet Henk 10 september 2018 16:51

Altijd leuk, een bedrijf dat handelt in zero-days die ons waarschuwt voor een lek.

Waarschijnlijk eerst uitgebreid verkocht, toen ontdekt door de ontwikkelaar, en nu willen ze er toch wat PR uithalen sinds het al gefixt is.

SiGNe @Niet Henk • 10 september 2018 17:59

Ligt eraan aan wie ze de Zero-days verkopen..
Als ze kwetsbaarheden opsporen en de resultaten verkopen aan anti-virus makers zitten ze bij de good guys, als ze het verkopen aan hackers zitten ze bij de bad guys.

Volgens Wiki https://en.wikipedia.org/wiki/Zerodium zoeken ze exploits op en geven ze adviezen aan klanten hoe men die exploits kan voorkomen.

Niet Henk @SiGNe • 10 september 2018 18:19

Dat is een optimistische blik op die Wikipedia pagina.

Wat ik lees:

1. Ze verkopen aan corporate and government clients zonder verdere specificatie
2. Ze kopen in bij security researchers, en verkopen door aan klanten, dus om winst te draaien moeten ze of beter onderhandelen met de klant dan de security researcher, en daarom meer krijgen dan de standaard bug bounties, of niet verkopen aan de makers.
3. Ze hebben o.a. $1 mil voor een iOS 9 exploit geboden, veel meer dan Apple's maximale payout destijds ($200.000)

Dan zie ik ook op hun site:

at ZERODIUM we focus on high-risk vulnerabilities with fully functional exploits

En iets concreter, in het FAQ:

ZERODIUM customers are mainly government organizations in need of specific and tailored cybersecurity capabilities, as well as major corporations from defense, technology, and financial sectors, in need of protective solutions to defend against zero-day attacks.

Access to ZERODIUM solutions and capabilities is highly restricted and is only available to a very limited number of organizations.

Kortom, ze verkopen zero-days aan voornamelijk overheden, die aanvallen willen kunnen uitvoeren, en daarnaast ook bedrijven om te verdedigen tegen aanvallen.

Zo'n voornamelijk is altijd een woord dat gepaard gaat met enige zorgen bij mij.

^{Edit: toevoeging info uit het faq}

[Reactie gewijzigd door Niet Henk op 23 juli 2024 19:37]

MrMonkE @Niet Henk • 10 september 2018 16:57

Of zij, en al hun klanten, maken gebruik van TOR browser en ze willen het zo snel mogelijk gefixed zien.

Zo kun je overal wel een theorie tegen aan plakken..

Niet Henk @MrMonkE • 10 september 2018 17:01

Maar gefixed is het al: Tor 8 is niet kwetsbaar. Je hoeft enkel te updaten.

Dat impliceert dat de ontwikkelaars van Tor al op de hoogte waren en dit ook hadden kunnen rapporteren, behalve als het iets is wat per ongeluk gefixt is (wat natuurlijk mogelijk is bij de switch naar Quantum).

BernardV @Niet Henk • 10 september 2018 18:48

Dus ook een goede reden om het nu kenbaar te maken voor wat “goodwill”, immers heb je weinig aan deze exploit als het inmiddels al opgelost is.

Krulliebol @BernardV • 11 september 2018 11:35

Er zijn nog best nog gebruikers die Quantum niet (kunnen) gebruiken, bijvoorbeeld omdat hun besturingssysteem dat niet (standaard) ondersteunt.

MrMonkE @Niet Henk • 10 september 2018 17:15

Oh da's eigenlijk wel dom als je een oude gebruikt dan.
Misschien heeft het er de hele v7 wel ingezeten en krijgen we een leuke arrestatie golf.

OddesE @MrMonkE • 10 september 2018 17:47

Tja als ik het zo lees dan is het 'lek' dat scripts op pagina's geladen met de noscript extension aan toch worden uitgevoerd. Sorry maar de hele wereld bladert zonder noscript plugins en krijgt die scritpts dus standaard om zijn oren. Dit is hoogstens een beetje vervelend maar 'ernstig lek' zou ik het niet noemen. Of mis ik iets?

GekkePrutser @OddesE • 10 september 2018 22:33

Die scripts kunnen gebruikt worden om gebruikers te de-anonimiseren. Bij gewone gebruikers zijn die al niet anoniem dus is dat probleem er niet zo.

Niettemin is Tails (wat meestal voor tor gebruikt wordt) al redelijk dichtgetimmerd waardoor de meeste methoden niet gaan werken, volgens mij kan je niet eens internet bereiken buiten Tor om (al weet ik dat niet zeker). Anders zou zo'n script bijvoorbeeld een bepaalde site buiten Tor om kunnen aantikken waardoor je het IP achterhaalt. Maar zelfs als je Tails gebruikt dan zijn er toch unieke kenmerken van je hardware die je eventueel zou kunnen achterhalen.

OddesE @GekkePrutser • 11 september 2018 10:37

Ah ja natuurlijk! Nu je dit zo zegt zie ik wel hoe het in het kader van anonimiteit een ernstig lek genoemd kan worden ja.

Raphaelo @OddesE • 10 september 2018 19:26

Waarschijnlijk werkte deze bug ook bij .onion sites, die enkel via tor te bezoeken zijn.

dakka @OddesE • 10 september 2018 19:26

Mensen gebruiken Tor voornamelijk omdat ze dingen doen(in hun land) waar de zittende macht ze zonder pardon laat verdwijnen. Als ze een script hebben dat noscript omzeilt kunnen ze rustig je identiteit achterhalen

tweaknico @OddesE • 11 september 2018 11:13

Je mist iets... Dat de meeste mensen niet nadenken over een aspect wil niet zeggen dat de mensen die er wel over nadenken niet mogen klagen...
Blijkbaar is NoScript te omzeilen, dat is fout, zeker voor de mensen die het WEL gebruiken.
(Eigenlijk zou iedereen het moeten gebruiken en op de juiste manier moeten whitelisten, dan zou er een hoop minder ellende zijn. Zeker mbt. Ransomware)

Vergelijk NoScript met een Condoom (een in gaatje zit). en kijk er dan nog eens naar.

CriticalHit_NL 10 september 2018 18:12

Is noscript eigenlijk wel net zo effectief als dit direct op browser niveau native te blokkeren?

Zover bij mij bekend is het bij Chrome zo dat je via extensies wel scripts kan blokkeren, maar dat er alsnog wat dingen uitgevoerd kunnen worden wat niet kan als in Chrome in de instellingen zelf javascript geblokkeerd wordt.

Cerberus_tm

@CriticalHit_NL • 10 september 2018 18:37

Dit zou ik ook wel graag willen weten, met name voor Firefox/ToR. Ik dacht altijd dat het bij Firefox gelijk zou moeten zijn maar weten doe ik het niet.

tweaknico @CriticalHit_NL • 11 september 2018 11:14

Ik ben overgestapt naar uMatrix ivm. fijnmaziger controles

CriticalHit_NL @tweaknico • 11 september 2018 18:28

Dat ziet eruit als een µblock origin kloon met wat extra's, maar iemand had een tijd terug iets getest met mij waaruit bleek dat µblock toch niet 100% javascript blokkeerd zoals Chrome het native zou doen.
Dan verwacht ik dat andere extensies inclusief uMatrix het niet beter te kunnen.

tweaknico @CriticalHit_NL • 12 september 2018 12:03

uMatrix is geen uBlock kloon....
het is behoorlijk wat gedetaileerder in wat je blokeerd and voor welke site.
en welke samen hang er tussen sites is...
Daarnaast is er ook geen centrale aanlevering van blokkades, je regelt het zelf.

Mogelijk zelf eens proberen ipv. de beschrijving te lezen. Werkt op Chrome / Chromium en Firefox

[Reactie gewijzigd door tweaknico op 23 juli 2024 19:37]

kuurtjes 10 september 2018 18:32

Goh. Nieuwswebsites

Het is een exploit in Noscript, waar de Tor Browser dus ook last van heeft. Heeft niet veel met Tor zelf te maken... En eigelijk ook niet zoveel met de Tor Browser... "NoScript lek zorgt voor javascript executie. Tor browser ook vatbaar." had beter geweest

Cerberus_tm

@kuurtjes • 10 september 2018 18:36

Nou, Noscript zit standaard in de ToR-browser en vormt daarin een essentieel onderdeel van de beveiliging van het hoogste niveau. Dus je zou kunnen zeggen dat Noscript net als Firefox een belangrijk onderdeel is van de ToR-browser.

HMC 10 september 2018 17:07

Iedere TOR-gebruiker zit nu inmiddels al op 8.0. Die nieuwe "fancy" versie. En nietsvermoedende, sporadische TOR-gebruikers hoeven ook niet veel te vrezen, want het is al een jaar of twee standaard dat er automatisch ge-update wordt.

Krulliebol 11 september 2018 11:39

De kwetsbaarheid zit in NoScript, toch? Als je NoScript als extensie in je reguliere browser gebruikt, dus zonder TOR, dan ben je dus ook vatbaar!