Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Sicherheitslücke in älteren Tor Browser Bundles

6. August 2013

In älteren, vor dem 26.6.2013 erschienenen, Versionen des Tor Browser Bundles existiert eine Javascript-Sicherheitslücke im zugehörigen Firefox 17 ESR. Diese wurde, wie unter anderem heise berichtet, anscheinend ausgenützt um Anwender des Anonymisierungs-Tools möglichst eindeutig zu identifizieren. Hintergründe und Theorien dazu finden sich in zahlreichen Medienberichten, wie z.B. dem o.a. heise-Artikel oder bei The Register.

Das Tor Project hat ein Security Advisory mit einer ausführlichen Analyse veröffentlicht. Demnach war/ist der Angriff offensichtlich gezielt gegen User gerichtet, die das Tor Browser Bundle unter Windows verwenden. Konsequenterweise lautet eine der Empfehlungen dann auch:

"... consider switching to a "live system" approach like Tails. Really, switching away from Windows is probably a good security move for many reasons."

Für viele Anwender vermutlich leichter umzusetzen sind die Ratschläge, das Tor Browser Bundle stets aktuell zu halten und Javascript global zu verbieten.

Die Tor-Entwickler weisen auch auf weitere potentielle Angriffsziele in Firefox hin, wie z.B. CSS, SVG, XML und den Renderer. Daher bitten sie um Mithilfe bei der Weiterentwicklung von Tor und dem Tor-Browser-Bundle.

Fazit von heise: "Insgesamt wird immer deutlicher, dass wer Tor nutzt, sehr genau wissen sollte was er tut, da er sich einem stark erhöhten Angriffsrisiko aussetzt."

Autor: Stephan Richter

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/8/6 - 18:00:31
Haftungsausschluss / Datenschutzerklärung