При изучении Tails 1.1 была обнаружена уязвимость в I2P

Пятница, 25 июля 2014 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Фирма Exodus Intelligence обнаружила уязвимость I2P при проверке популярного дистрибутива Tails. Была показана презентация и методы, позволяющие полностью деанонимизировать пользователя.

Суть уязвимости состоит в XSS-атаке через eepsite, заставляющей браузер пользователя скачать в консоль маршрутизатора вредоносный плагин:

«In a 3-step process, the XSS is stored client-side, the console is loaded to inject the code and the injected code then passes and loads the signed plugin through I2P’s plugin framework. In doing so, remote code execution is achieved on the target system. A simple Python web server implementing this flow is provided along with scripts and code for compiling a Java based proof-of-concept payload.»

После чего, видимо, можно получить истинный IP-адрес пользователя.

Лечение данной уязвимости довольно простое — поставить NoScript. Разработчики I2P разбираются и готовят патч для устранения данной уязвимости.

 i2p, tails, анонимность, безопасность

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 660
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003