Разработчики предупредили, что из-за ошибки Tor Browser может выполнять код jаvascript на сайтах, где запуск jаvascript был сознательно заблокирован пользователем. Хотя работа над созданием исправления уже ведется, патча пока нет, и сроки его выхода не называются.

Возможность блокирования выполнения jаvascript является один из важных аспектов безопасности Tor Browser. Именно из-за того, что браузер сосредоточен на сохранении конфиденциальности пользователей (в частности, он маскирует реальные IP-адреса и делает все, чтобы сохранить анонимность человека) его часто используют для обхода блокировок и цензуры журналисты, политические активисты и диссиденты в странах с репрессивным режимом.

Стоит сказать, что ранее для Tor Browser существовали эксплоиты, которые использовали jаvascript, чтобы выявить реальный IP-адрес пользователя. Некоторые из них использовались для разоблачения преступников (1 , 2), тогда как другие применялись при неизвестных обстоятельствах (1 , 2).

Теперь же команда разработчиков сообщила, что обнаружила ошибку в настройках безопасности Tor Browser Bundle. Так, даже если браузер настроен на использование самого высокого уровня безопасности (Safest), он по-прежнему разрешает выполнение кода jаvascript в некоторых ситуациях, даже когда по идее должен его блокировать.

Разработчики пишут, что уже работают над устранением этой проблемы, но пока патча нет, пользователи могут полностью отказаться от использования jаvascript и отключить его в настройках: аbout:config -> jаvascript.enabled -> false.

Теги: CSS