Специалисты Tor Project исправили серьезную уязвимость в браузере Tor, позволявшую запускаться скриптам JavaScript на сайтах, даже если пользователи заблокировали такую возможность.
Блокировка выполнения JavaScript-кодов является одной из важнейших функций безопасности в браузере Tor наряду с функцией сокрытия реальных IP-адресов. В прошлом в браузере уже обнаруживались уязвимости, позволявшие с помощью JavaScript-кодов узнавать реальные IP-адреса пользователей. Они использовались ФБР для деанонимизации преступников, а также могли эксплуатироваться киберпреступниками.
Новая уязвимость позволяла выполнение JavaScript-кодов, даже если браузер работал в самом безопасном режиме со всеми соответствующими настройками, которые должны были блокировать JavaScript-коды.
Уязвимость была исправлена в воскресенье, 15 марта, путем обновления расширения NoScript (версия 11.0.17). В браузере Tor расширение NoScript получает обновления автоматически, поэтому от пользователей не требуется никаких действий.
NoScript – бесплатное расширение для Mozilla Firefox и других браузеров на его основе. По умолчанию блокирует активные (исполняемые) web-компоненты. Пользователи могут включить либо полную, либо частичную блокировку (путем добавления сайтов в белый список).