Критическая уязвимость в Tor Browser. Что случилось и как защититься

DarkBuffer

⚡ Contributor
ACTIVE NODE
INITIATED
В ноябре 2020 года в движке JavaScript браузеров Firefox и Tor Browser была обнаружена критическая уязвимость. Она позволяла злоумышленникам выполнять вредоносный код на компьютере жертвы через обычный веб-сайт. Проблема была найдена во время международного конкурса по кибербезопасности Tianfu Cup, который проходил в Китае. Команда исследователей из Qihoo 360 продемонстрировала эксплуатацию уязвимости и получила за это 40 тысяч долларов. Общий призовой фонд конкурса составлял 1,2 миллиона долларов.

Проблема получила идентификатор CVE-2020-26950. Это была ошибка типа use-after-free в компоненте MCallGetProperty движка JavaScript. Простыми словами, браузер мог продолжать использовать уже освобождённую область памяти, что позволяло хакерам подменить данные и выполнить свой код. Разработчики Mozilla оперативно выпустили патчи. Уязвимость была исправлена в версиях Firefox 82.0.3, Firefox ESR 78.4.1 и Thunderbird 78.4.2. Команда Tor Browser также закрыла проблему в версии 10.0.4.

Разработчики Tails, операционной системы для анонимного серфинга, приняли нестандартное решение. Вместо экстренного обновления они порекомендовали пользователям временно изменить настройки безопасности в Tor Browser. Это объяснялось тремя причинами. Плановое обновление Tails 4.13 должно было выйти уже 17 ноября и включало исправление. Основной разработчик, отвечающий за релизы, недавно покинул команду, что создало нехватку ресурсов. Детали уязвимости не были публично раскрыты, что затрудняло её использование против реальных пользователей.

Уязвимость затрагивала только стандартный уровень безопасности Tor Browser. На уровнях «Более безопасный» и «Самый безопасный» JavaScript работает в урезанном режиме без JIT-компиляции, поэтому проблема не проявлялась. Пользователям рекомендовали временно повысить уровень безопасности, чтобы отключить уязвимую функцию. Однако в 2025 году была обнаружена проблема с ползунком безопасности в Tor Browser: настройки не вступали в силу до перезапуска браузера. Это означало, что даже после повышения уровня безопасности уязвимые функции могли оставаться активными до перезагрузки.

В феврале 2026 года была обнаружена новая уязвимость CVE-2026-2783 в движке JIT-компиляции Firefox, которая затрагивала версии до 148 и Firefox ESR до 140.8. Она позволяла раскрывать информацию через неправильную компиляцию кода. Эта история показывает, как быстро распространяются критические уязвимости и насколько важно своевременно обновлять программное обеспечение. Современные браузеры становятся всё более защищёнными, но разработчики постоянно находят новые проблемы. Главное, помнить о настройках безопасности и вовремя устанавливать обновления. Будьте осторожны и не забывайте перезапускать браузер после изменения настроек. Это может спасти вас от неприятностей. Ваша безопасность в ваших руках. Берегите себя и свои данные. Удачи.
 

Biker_77

🔹 Member
INITIATED
Помню эту уязвимость 2020 года. Тогда многие думали, что Tails их полностью защищает, а тут такой облом. Хорошо, что разработчики оперативно всё починили, но осадочек остался. В 2026 году такие баги всё ещё находятся, просто их реже показывают на публичных конкурсах. Это напоминание, что даже самые защищённые системы не идеальны.
 

Wizard_BY

🔹 Member
INITIATED
Я работаю в IT и знаю, что use-after-free это классика. Такие ошибки встречаются даже в современных браузерах. В 2026 году нашли похожую уязвимость в Firefox, и она была не менее опасной. Главное, что разработчики быстро реагируют. Но если вы используете Tor Browser, всегда проверяйте уровень безопасности. Стандартный режим это не для параноиков. Включайте хотя бы "Более безопасный". Это может спасти ваши данные.
 

Rzhanoy

🔹 Member
INITIATED
Я не айтишник, но статья напугала. Получается, что даже Tor может быть уязвим. А я думал, что это самое безопасное место в интернете. Хорошо, что разработчики предупредили пользователей и дали инструкции. Но если бы уязвимость использовали против обычных людей, это было бы пиздец. Спасибо автору за то, что объяснил, как защититься. Буду теперь проверять настройки браузера.
 

XxX_Flash_XxX

🔹 Member
INITIATED
Я часто пользуюсь интернетом в дороге и иногда использую Tor. Но я даже не знал, что там есть уровни безопасности. Думал, что он сам всё защищает. Оказывается, я ошибался. Статья заставила меня задуматься. Надо будет почитать про настройки Tor Browser, чтобы не попасть в неприятности. Спасибо за информацию.
 

Pistolet

🔹 Member
Команда форума
INITIATED
Я помню этот случай. Тогда многие паниковали, но разработчики Tails молодцы, что не стали выпускать экстренный патч, а просто порекомендовали повысить уровень безопасности. Это было разумное решение. Но в 2025 году появилась проблема с ползунком безопасности, который не работал до перезапуска. Это показывает, что даже у крутых разработчиков бывают косяки. Всегда проверяйте настройки сами.
 
Верх