Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Sicherheitslücke in älteren Tor Browser Bundles

6. August 2013

In älteren, vor dem 26.6.2013 erschienenen, Versionen des Tor Browser Bundles existiert eine Javascript-Sicherheitslücke im zugehörigen Firefox 17 ESR. Diese wurde, wie unter anderem heise berichtet, anscheinend ausgenützt um Anwender des Anonymisierungs-Tools möglichst eindeutig zu identifizieren. Hintergründe und Theorien dazu finden sich in zahlreichen Medienberichten, wie z.B. dem o.a. heise-Artikel oder bei The Register.

Das Tor Project hat ein Security Advisory mit einer ausführlichen Analyse veröffentlicht. Demnach war/ist der Angriff offensichtlich gezielt gegen User gerichtet, die das Tor Browser Bundle unter Windows verwenden. Konsequenterweise lautet eine der Empfehlungen dann auch:

"... consider switching to a "live system" approach like Tails. Really, switching away from Windows is probably a good security move for many reasons."

Für viele Anwender vermutlich leichter umzusetzen sind die Ratschläge, das Tor Browser Bundle stets aktuell zu halten und Javascript global zu verbieten.

Die Tor-Entwickler weisen auch auf weitere potentielle Angriffsziele in Firefox hin, wie z.B. CSS, SVG, XML und den Renderer. Daher bitten sie um Mithilfe bei der Weiterentwicklung von Tor und dem Tor-Browser-Bundle.

Fazit von heise: "Insgesamt wird immer deutlicher, dass wer Tor nutzt, sehr genau wissen sollte was er tut, da er sich einem stark erhöhten Angriffsrisiko aussetzt."

Autor: Stephan Richter

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Cisco FXOS und NX-OS Software - Patches verfügbar
21. Juni 2018 | Beschreibung Cisco ...
Security Advisory für Microsoft Exchange Server
20. Juni 2018 | Beschreibung | Microsoft ...
mehr ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/8/6 - 18:00:31
Haftungsausschluss / Datenschutzerklärung