Tails≤5.0存在严重漏洞CVE-2022-1802和CVE-2022-1529

目录导航

Tails是什么:

参考如下文章:

tails 免受监视和审查的操作系统|隐私保护

Tails 项目的维护者已发出警告，与操作系统捆绑的 Tor 浏览器不安全地用于访问或输入敏感信息。

“如果您使用 Tor 浏览器获取敏感信息（密码、私人消息、个人信息等），我们建议您在 5.1（5 月 31 日）发布之前停止使用 Tails，”该项目在本周发布的一份咨询中表示。

Tails 是 Amnesic Incognito Live System 的缩写，是一个面向安全的基于 Debian 的 Linux 发行版，旨在通过 Tor 网络连接到互联网来保护隐私和匿名性。

该警报发布之际，Mozilla 于 2022 年 5 月 20 日推出了针对其 Firefox 浏览器中两个关键的零日漏洞的修复程序，其修改版本是 Tor 浏览器的基础。

这两个漏洞被跟踪为 CVE-2022-1802 和 CVE-2022-1529，被称为原型污染，可以武器化以在运行易受攻击版本的 Firefox、Firefox ESR、Firefox for Android 和 Thunderbird 的设备上执行 JavaScript 代码.

“例如，在您访问恶意网站后，控制该网站的攻击者可能会在同一 Tails 会话期间访问您随后发送到其他网站的密码或其他敏感信息”Tails 公告中写道。

Manfred Paul 上周在温哥华举行的第 15 届 Pwn2Own 黑客竞赛中展示了这些漏洞，研究人员因此获得了 100,000 美元的奖金。

但是，启用了“最安全”安全级别的 Tor 浏览器以及操作系统中的 Thunderbird 电子邮件客户端不受这些缺陷的影响，因为在这两种情况下都禁用了 JavaScript。

此外，这些弱点不会破坏 Tor 浏览器的匿名和加密保护，这意味着不处理敏感信息的 Tails 用户可以继续使用网络浏览器。

“这个漏洞将在 Tails 5.1（5 月 31 日）中修复，但我们的团队没有能力提前发布紧急版本，”开发人员说。

Tails 5.0 中的严重安全漏洞2022-05-24

Tails 5.0 及更早版本中的Tor 浏览器对于敏感信息使用是不安全的。

如果您使用Tor 浏览器获取敏感信息（密码、私人消息、个人信息等），我们建议您在 5.1（5 月 31 日）发布之前停止使用 Tails 。

在Firefox 和Tor 浏览器的 JavaScript 引擎中发现了一个安全漏洞。请参阅Mozilla 基金会安全公告 2022-19

此漏洞允许恶意网站绕过Tor 浏览器中内置的一些安全性并访问其他网站的信息。

例如，在您访问恶意网站后，控制该网站的攻击者可能会在同一 Tails 会话期间访问您随后发送到其他网站的密码或其他敏感信息。

此漏洞不会破坏 Tor 连接的匿名性和加密性。

例如，如果您不与 Tails 共享敏感信息，从 Tails 访问网站仍然是安全且匿名的。

Tor 浏览器被入侵后，唯一可靠的解决方案是重启 Tails。

Tails 中的其他应用程序不易受到攻击。Tails 中的Thunderbird不易受到攻击，因为 JavaScript 被禁用。

Tor 浏览器的最高安全安全级别不受影响，因为在此安全级别禁用了 JavaScript。

此漏洞将在 Tails 5.1（5 月 31 日）中修复，但我们的团队没有能力提前发布紧急版本。

公布	2022 年 5 月 20 日
影响	严重的
产品	Firefox, Firefox ESR, Firefox for Android, Thunderbird
已修复的版本	Firefox 100.0.2
已修复的版本	Firefox ESR 91.9.1
已修复的版本	Firefox for Android 100.3
已修复的版本	Thunderbird 91.9.1

报告者	Manfred Paul 通过趋势科技的零日倡议
影响	严重的
描述	如果攻击者能够通过原型污染破坏 JavaScript 中 Array 对象的方法，他们就可以在特权上下文中执行攻击者控制的 JavaScript 代码。
参考	错误 1770137

报告者	Manfred Paul 通过趋势科技的零日倡议
影响	严重的
描述	攻击者可能已经向父进程发送了一条消息，其中的内容被用来对 JavaScript 对象进行双索引，从而导致原型污染，并最终导致攻击者控制的 JavaScript 在特权父进程中执行。
参考	错误 1770048

转载请注明出处及链接