Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Sicherheitslücke in älteren Tor Browser Bundles

6. August 2013

In älteren, vor dem 26.6.2013 erschienenen, Versionen des Tor Browser Bundles existiert eine Javascript-Sicherheitslücke im zugehörigen Firefox 17 ESR. Diese wurde, wie unter anderem heise berichtet, anscheinend ausgenützt um Anwender des Anonymisierungs-Tools möglichst eindeutig zu identifizieren. Hintergründe und Theorien dazu finden sich in zahlreichen Medienberichten, wie z.B. dem o.a. heise-Artikel oder bei The Register.

Das Tor Project hat ein Security Advisory mit einer ausführlichen Analyse veröffentlicht. Demnach war/ist der Angriff offensichtlich gezielt gegen User gerichtet, die das Tor Browser Bundle unter Windows verwenden. Konsequenterweise lautet eine der Empfehlungen dann auch:

"... consider switching to a "live system" approach like Tails. Really, switching away from Windows is probably a good security move for many reasons."

Für viele Anwender vermutlich leichter umzusetzen sind die Ratschläge, das Tor Browser Bundle stets aktuell zu halten und Javascript global zu verbieten.

Die Tor-Entwickler weisen auch auf weitere potentielle Angriffsziele in Firefox hin, wie z.B. CSS, SVG, XML und den Renderer. Daher bitten sie um Mithilfe bei der Weiterentwicklung von Tor und dem Tor-Browser-Bundle.

Fazit von heise: "Insgesamt wird immer deutlicher, dass wer Tor nutzt, sehr genau wissen sollte was er tut, da er sich einem stark erhöhten Angriffsrisiko aussetzt."

Autor: Stephan Richter

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in Mailserver-Software Exim - Patches verfügbar
6. September 2019 | Beschreibung Das ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/8/6 - 18:00:31
Haftungsausschluss / Datenschutzerklärung