В анонимизационной сети Tor обнаружена уязвимость

В свободно распространяемой анонимизационной службе Tor (The Onion Router), предназначенной для установления анонимных соединений и шифрования трафика обнаружена уязвимость.

По сообщениям экспертов по безопасности, данная уязвимость позволяет при определенных условиях получить доступ злоумышленнику к конфиденциальным данным приложения. Сама ошибка обнаружена в клиенте сети, который запускается на компьютере пользователя.

Как пишут специалисты, проблема заключается в том, что некоторые компиляторы во время оптимизации кода опускают функцию memset(), если заполняемый ею буфер больше нигде не используется. Таким образом, находящиеся в памяти данные не обнуляются, что позволяет считать их другим процессом.

Пока чисто теоретически, через данную брешь в клиенте можно восстановить список сайтов, посещенных пользователем через Tor, а также извлечь данные о логинах и паролях с этих сайтов.

На данный момент найденная ошибка в коде клиента Tor не исправлена.

Кроме данной ошибки, позволяющей получить данные пользователей, Tor не в первый раз оказывается в центре скандалов. В 2006 году спецслужбы Германии арестовали компьютеры, принадлежащие сети, по обвинению в распространению порнографии. С осени 2009 года ip-адреса сети внесены в черный список китайских файрволов. В начале января 2010 года неизвестным хакерам удалось взломать два из семи серверов директорий Tor.