Компания Zerodium, скупающая сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима ‘Safest’. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser. Уязвимость не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtension.
Как оказалось, NoScript 5.x не блокирует выполнения JavaScript кода в случае загрузки скриптов с некорректным Content-Type, который, тем не менее, воспринимается браузером. В частности, при отдаче страницы с «Content-Type: text/html;/json» код JavaScript будет выполнен даже при включении режима полной блокировки скриптов в NoScript. Уязвимость вызвана исправлением, добавленным весной прошлого года в составе выпуска 5.0.4 для решения проблемы с невозможностью просмотра файлов в формате JSON при отключённом JavaScript.
Разработчики NoScript оперативно выпустили обновление 5.1.8.7 в котором устранили выявленную уязвимость. Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись, для ручной установки обновления XUL-дополнения в старых версиях Firefox в about:config следует деактивировать параметр xpinstall.signatures.required. Проект Tor пока не сформировал обновление ветки Tor Browser 7.x, поддержка которой формально уже прекращена.