Уязвимость в NoScript 5.x, позволяющая обойти отключение JavaScript в Tor Browser 7.x
Компания Zerodium, скупающая сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима ‘Safest’. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser. Уязвимость не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtension. Как оказалось, NoScript 5.x не блокирует выполнения JavaScript кода в случае загрузки скриптов с некорректным Content-Type, который, тем не менее, воспринимается браузером. В частности, при отдаче страницы с «Content-Type: text/html;/json» код JavaScript будет выполнен даже при включении режима полной блокировки скриптов в NoScript. … Читать далее Уязвимость в NoScript 5.x, позволяющая обойти отключение JavaScript в Tor Browser 7.x
