Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Sicherheitslücke in älteren Tor Browser Bundles

6. August 2013

In älteren, vor dem 26.6.2013 erschienenen, Versionen des Tor Browser Bundles existiert eine Javascript-Sicherheitslücke im zugehörigen Firefox 17 ESR. Diese wurde, wie unter anderem heise berichtet, anscheinend ausgenützt um Anwender des Anonymisierungs-Tools möglichst eindeutig zu identifizieren. Hintergründe und Theorien dazu finden sich in zahlreichen Medienberichten, wie z.B. dem o.a. heise-Artikel oder bei The Register.

Das Tor Project hat ein Security Advisory mit einer ausführlichen Analyse veröffentlicht. Demnach war/ist der Angriff offensichtlich gezielt gegen User gerichtet, die das Tor Browser Bundle unter Windows verwenden. Konsequenterweise lautet eine der Empfehlungen dann auch:

"... consider switching to a "live system" approach like Tails. Really, switching away from Windows is probably a good security move for many reasons."

Für viele Anwender vermutlich leichter umzusetzen sind die Ratschläge, das Tor Browser Bundle stets aktuell zu halten und Javascript global zu verbieten.

Die Tor-Entwickler weisen auch auf weitere potentielle Angriffsziele in Firefox hin, wie z.B. CSS, SVG, XML und den Renderer. Daher bitten sie um Mithilfe bei der Weiterentwicklung von Tor und dem Tor-Browser-Bundle.

Fazit von heise: "Insgesamt wird immer deutlicher, dass wer Tor nutzt, sehr genau wissen sollte was er tut, da er sich einem stark erhöhten Angriffsrisiko aussetzt."

Autor: Stephan Richter

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Update: "Zero-Day" Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
7. Juni 2018 | Update: ...
Kritische Sicherheitslücken in Adobe Acrobat, Adobe Reader und Adobe Photoshop CC - Patches verfügbar
15. Mai 2018 | Beschreibung Adobe ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
NIS Update
15. Mai 2018 | Am 9. ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/8/6 - 18:00:31
Haftungsausschluss / Datenschutzerklärung