关键脆弱性已被固定在上游,但是Tails Dev团队“没有能力提前发布紧急发布”
Tails警告用户在发现原型污染漏洞后停止使用与隐私操作系统(OS)捆绑在一起的TOR浏览器。
TOR浏览器是对开源Firefox Web浏览器的修改,该浏览器是找到CVE-2022-1802的关键漏洞。beplay体育能用吗
该错误可以使攻击者通过原型污染破坏JavaScript中数组对象的方法,从而在特权上下文中实现攻击者控制的JavaScript代码的执行。
第二个错误跟踪为CVE-2022-1529,可以允许攻击者将消息发送到父进程中,其中内容可以将内容用于将索引倍加到JavaScript对象,从而导致原型污染,并最终允许攻击者控制的JavaScript在特权父母过程中执行。
连锁撞击
Tails的开发人员是一种以安全为中心的Linux发行版,用于安全性和匿名性,警告用户不要启动TOR浏览器在处理任何敏感信息的同时,因为漏洞可能会破坏其提供的任何保护。
这至少要直到预计于5月31日发布的5.1版。
Tails的安全咨询说:“此漏洞使恶意网站绕过了浏览器内置的一些安全性,并从其他网站访问了信息。beplay体育能用吗
“例如,访问恶意网站后,控制本网站的攻击者可能会访问您在同一尾巴会话中发送给其他网站beplay体育能用吗的密码或其他敏感信息。”
不要错过原型污染:影响JavaScript应用的危险和低估脆弱性
漏洞不会打破TOR连接的匿名性和加密,这意味着如果您不与它们共享敏感信息,则仍然可以安全且匿名从尾部访问网站。beplay体育能用吗
由于JavaScript是禁用的,因此尾部中的其他应用程序并不脆弱。TOR浏览器最安全的安全级别也没有受到影响,因为在此安全级别禁用JavaScript。
修复传入
Tails 5.0版与TOR浏览器11.0.11捆绑在一起,其中包含原型污染错误。
当用户等待尾巴5.1时,它将继承TOR浏览器11.0.13安全更新,他们可以使用独立的并完全更新Mac,Windows或Linux上的浏览器版本。
Tails团队说:“这种脆弱性将在5.1(5月31日)中固定,但我们的团队没有能力提前发布紧急情况。”
莫兹拉安全咨询包含有关安全问题的更多信息,研究人员曼弗雷德·保罗(Manfred Paul)报告了这些信息。
它还包含有关Firefox,Firefox ESR,Android和Thunderbird的Firefox修复程序的细节,以防止脆弱性。
你也许也喜欢恶意Python图书馆CTX从PYPI回购中删除
