В браузере Tor исправлена уязвимость, позволявшая запускаться JavaScript-кодам

Специалисты Tor Project исправили серьезную уязвимость в браузере Tor, позволявшую запускаться скриптам JavaScript на сайтах, даже если пользователи заблокировали такую возможность.

Блокировка выполнения JavaScript-кодов является одной из важнейших функций безопасности в браузере Tor наряду с функцией сокрытия реальных IP-адресов. В прошлом в браузере уже обнаруживались уязвимости, позволявшие с помощью JavaScript-кодов узнавать реальные IP-адреса пользователей. Они использовались ФБР для деанонимизации преступников, а также могли эксплуатироваться киберпреступниками.

Новая уязвимость позволяла выполнение JavaScript-кодов, даже если браузер работал в самом безопасном режиме со всеми соответствующими настройками, которые должны были блокировать JavaScript-коды.

Уязвимость была исправлена в воскресенье, 15 марта, путем обновления расширения NoScript (версия 11.0.17). В браузере Tor расширение NoScript получает обновления автоматически, поэтому от пользователей не требуется никаких действий.

NoScript – бесплатное расширение для Mozilla Firefox и других браузеров на его основе. По умолчанию блокирует активные (исполняемые) web-компоненты. Пользователи могут включить либо полную, либо частичную блокировку (путем добавления сайтов в белый список).