พบช่องโหว่ใน Firefox และ Tor Browser ใช้ตามรอยหาตัวผู้ใช้งานได้ อัพเดตมาแล้ว

By: mk

on 1 December 2016 - 08:48 Tags:

Topics:

Mozilla ประกาศพบช่องโหว่สำคัญเกี่ยวกับฟังก์ชัน SVG ใน Firefox ซึ่งถูกใช้งานโจมตีเบราว์เซอร์ Tor (ที่พัฒนาขึ้นบน Firefox) เพื่อค้นหาตัวตนของผู้ใช้งานแล้ว

รูปแบบการโจมตีคือแฮ็กเกอร์จะหลอกผู้ใช้ Tor ให้เข้าเว็บเพจที่มีไฟล์ SVG ฝังไว้ ไฟล์นี้จะอาศัยช่องโหว่ตัวนี้เก็บค่า IP และ MAC ของผู้ใช้ ส่งกลับไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์ได้ ทาง Mozilla ระบุว่าการโจมตีลักษณะนี้คล้ายกับเทคนิคที่ FBI เคยใช้ตามหาผู้ใช้ Tor และมีคนตั้งข้อสงสัย (แต่ไม่มีหลักฐาน) ว่าเป็นไปได้ที่คนใช้ช่องโหว่นี้คือ FBI

Mozilla ออก Firefox 50.0.2 ที่อุดช่องโหว่นี้แล้ว ส่วน Tor ก็ออกเบราว์เซอร์เวอร์ชัน 6.0.7 มาแล้วเช่นกัน ผู้ใช้ก็ตามอัพเดตกันด่วนครับ

ที่มา - Mozilla, Tor, ภาพจาก Tor

No Description

Hiring! บริษัทที่น่าสนใจ

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

CDG GROUP

Provider of IT solutions to public, state, and private sectors in Thailand for over 56 years

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

Comments

By: illuminator

on 1 December 2016 - 11:13 #956427

เป็นไปได้ที่คนใช้ช่องโหว่นี้คือ FBI

Oop!

ว่าแต่ Tor มันปลอดภัยจริงหรอครับ?

By: pe3z

on 1 December 2016 - 12:06 #956439 Reply to:956427

ปลอดภัยนี่พูดได้หลายมุมมองนะครับ อาทิ โปรโตคอล Tor เพิ่มคุณลักษณะทางด้านความปลอดภัยในการส่งข้อมูลไหม หรือ Tor ปลอดภัยต่อการใช้จริงมากน้อยแค่ไหน

By: atheist

on 1 December 2016 - 13:26 #956464 Reply to:956427

ปลอดภัยมากน้อย ขึ้นกับเงินของศัตรูคุณครับ ถ้านับพฤติกรรมการใช้งานของคนไม่รู้เรื่องเลย ช่องโหว่ส่วนใหญ่ของ Tor ก็ยังเล่นงานยาก

By: Architec

on 1 December 2016 - 16:13 #956502 Reply to:956427

ไม่

หลายคนลงทุนทำ exit node เพื่อดักรหัสผ่านยังมีเลยครับ

By: pe3z

on 2 December 2016 - 11:21 #956660 Reply to:956502

ถึงแม้ exit node จะเป็น malicious node แต่นั่นไม่ได้ทำให้ exit node สามารถรู้ source จริงๆ ของผู้ส่งข้อมูลได้เพราะรู้ได้มากที่สุดแค่ 1 hop ซึ่งในประเด็นนี้ผมก็ยังมองว่ามันทำได้ตามที่มันควรจะทำคือเพิ่มความเป็นส่วนตัว

แต่ทีนี้ประเด็นที่เป็นปัญหาอยู่ที่การไม่เข้ารหัสข้อมูล ซึ่ง Tor ไม่ได้เข้ารหัสแบบ E2E อยู่แล้วและก็ไม่ได้การันตีว่าข้อมูลจะปลอดภัยแต่การันตีเฉพาะแค่เรื่องความนิรนามและความเป็นส่วนตัว

ดังนั้นผมจึงเห็นต่างว่าในแง่ของ functionality นั้น Tor ยังคงปลอดภัยถ้าจะใช้งานโดยเน้นเรื่องความเป็นส่วนตัวครับ (แต่หมายถึงก็ต้องทำปัจจัยอื่นให้สนับสนุนด้วยนะ)

By: put4558350

on 1 December 2016 - 17:13 #956511 Reply to:956427

Tor มีข้อดีของตัวเอง คือการส่งข้อมูลไปมาทำให้ตามตัวใด้ยาก ไม่ขึ้นกับประเทศใหน และฟรี แต่ก็ไม่มีอะไรยืนยันว่าไช้ Tor แล้วจะไม่โดนเจอตัว

proxy เสียเงิน ส่วนใหญ่อยู่ใต้กตหมายของประเทศที่ตัวเองตั้งอยู่ ทำให้ทะลุใด้ไม่จริง หาตัวใด้ และไม่ปลอดภัย แถมเทคนิกที่ไช้หาตัวของ tor ก็สามารถไช้หาตัวบน proxy เสียเงินใด้

samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo

By: Hoo

on 1 December 2016 - 22:08 #956578

ส่วนตัว
รู้สึกว่าเหมาะกับใช้ทะลุบล๊อค internet มากกว่า
สมัยอยู่จีนได้ใช้อยู่ แต่ช้ามากกกก
ปกติจะใช้ FreeGate จะเร็วกว่า แต่ถ้า FreeGate ดับ
Tor ยังไปต่อได้ (แล้วก็ใช้โหลด FreeGate ตัวใหม่มา 555)

By: JoTaRo on 21 January 2017 - 11:30 #965822

อยากได้ไอดีแอ้ปตำรวจ ตรวจสอบประวัติโจรอ่ะ หาหั้ยด้ายไหมๆ

Main menu