В сети Tor и одноимённом браузере нашли две уязвимости. Исследователь, опубликовавший технические подробности брешей, утверждает, что в ближайшее время появится информация ещё о нескольких багах.
Эксперт Нил Кравец, сообщивший о проблемах безопасности, заявил, что разработчики Tor Project провалили своевременный патчинг. В общей сложности уязвимости присутствуют в браузере уже несколько лет.
Кравец пообещал опубликовать информацию ещё как минимум о трёх дырах. Среди них, по словам эксперта, есть уязвимость, раскрывающая реальные IP-адреса серверов Tor.
В блоге исследователь описал первую 0-day, благодаря которой интернет-провайдеры могут заблокировать пользователям подключение к сети Tor. Для этого достаточно просто просканировать соединения на наличие конкретной сигнатуры пакетов, уникальной для трафика Tor.
Чуть позже Кравец рассказал о второй уязвимости, которая также позволяет провайдерам детектировать трафик Tor. Единственное отличие — в этом случае можно вычислить лишь непрямые подключения.
Специалист считает, что Tor Project несерьёзно относится к сообщениям об уязвимостях. Многие из проблем безопасности существуют на протяжении нескольких лет. И патчи для них пока даже не готовятся.
