Abo
  • Services:
Anzeige
Eine Sicherheitslücke im Tor-Browser ermöglicht die Identifikation von Nutzern.
Eine Sicherheitslücke im Tor-Browser ermöglicht die Identifikation von Nutzern. (Bild: David Bates/Golem.de)

0-Day: Nutzer des Tor-Browsers werden mit Javascript angegriffen

Eine Sicherheitslücke im Tor-Browser ermöglicht die Identifikation von Nutzern.
Eine Sicherheitslücke im Tor-Browser ermöglicht die Identifikation von Nutzern. (Bild: David Bates/Golem.de)

Wer den Tor-Browsers nutzt, will meist vor allem eins: Anonymität. Eine aktuelle Schwachstelle im Firefox-Browser führt aber dazu, dass Nutzer identifiziert werden können. Das Problem betrifft auch Nutzer des regulären Firefox - ein Patch ist in Arbeit.

Nutzer des Tor-Browsers werden derzeit aktiv mit einer 0-Day-Lücke angegriffen, die einen Fehler im Speichermanagement des verwendeten Firefox-Browsers ausnutzt. Möglicherweise sind auch Nutzer von Firefox ohne Tor-Bundle betroffen. Die Sicherheitslücke soll es Angreifern ermöglichen, Code auf dem Rechner der Tor-Nutzer auszuführen. Mozilla arbeitet noch an einem Patch.

Anzeige

Der mutmaßlich verwendete Schadcode wurde auf einer Tor-Mailingliste gepostet. Angeblich soll der Exploit derzeit aktiv ausgenutzt werden.

Nach Angaben von Sicherheitsforschern ist der verwendete Angriff einer Attacke aus dem Jahr 2013 sehr ähnlich. Twitter-Nutzer @TheWack0lian schrieb: "Es ist eigentlich fast exakt der gleiche Payload wie er im Jahr 2013 benutzt wurde." Damals hatte die US-Bundespolizei FBI einen Server, der mutmaßlich an der Verbreitung von Missbrauchsdarstellungen an Kindern beteiligt war, mit einem entsprechenden Exploit infiziert, um einzelne Tor-Nutzer zu enttarnen.

Enttarnung von Tor-Nutzern

Auch im aktuellen Fall wird ein eindeutiger Identifier (Unique Identifier) an einen Server gesendet. Im Jahr 2013 war dieser unter der IP 65.222.202.54 erreichbar, im aktuellen Fall wurden die Daten an 5.39.27.226 gesendet. Der Server steht nach Angaben von Ars Technica beim französischen Webhoster OVH, antwortet aber aktuell nicht mehr auf Anfragen.

Bei der Sicherheitslücke handelt es sich nach Angaben des Sicherheitsforschers Dan Guido um eine Use-After-Free-Lücke. Ars Technica schreibt dazu: Die Lücke sei "zu 100 Prozent effektiv, um eine Remote Code Execution auf Windows-Systemen auszulösen". Der Exploit-Code würde je nach verwendetem Firefox-Browser in verschiedenen Speicherbereichen abgelegt. Unterstützt werden demnach die Versionen 41 bis 50. Der aktuelle Tor-Browser nutzt Version 45 mit Langzeitsupport und ist ebenfalls betroffen.

Der Exploit setzt also aktiviertes Javascript voraus. Wer mit dem Tor-uBrowser verlässlich anonym surfen will, ist ohnehin gut beraten, Javascript auszuschalten, ansonsten gibt es Möglichkeiten für Fingerprinting und eben Angriffe wie diesen. Da auch der normale Firefox-Browser betroffen ist, sollten Nutzer entweder Javascript ausschalten oder vorläufig einen anderen Webbrowser verwenden.

Nachtrag vom 30. November 2016, 12:19 Uhr

In einer früheren Version des Artikels hatten wir geschrieben, dass es sich bei der Sicherheitslücke um einen Buffer Overflow handelt. Das ist falsch, es handelt sich um eine Use-After-Free-Lücke. Wir haben den Text entsprechend aktualisiert.

eye home zur Startseite
Kommentarübersicht
Re: "Sicher ist, dass ...
Menplant 01. Dez 2016

Adobe Flash wird fast nur noch für Rich Media (Videos und Spiele) sinvoll verwendet. Kann...

Re: NoScript
Wuestenschiff 01. Dez 2016

Immer diese Pedanten: Javascript läuft auf dem Client, und kann da keine Abfragen auf das...

Re: wer wirklich anonym surfen will
grslbr 01. Dez 2016

Jo, so kaufen Leute die definitiv nicht ich sind im Dorknetz ein.

Re: Wer wirklich anonym surfen will...
grslbr 30. Nov 2016

Weshalb Bargeld immer noch der Hauptbestandteil wirklich jedes ernsthaften Versuches zu...

Re: Tor Browser weiterhin empfehlenswert ...
Squirrelchen 30. Nov 2016

Tracker und Werbung bekommt man mit entsprechenden Addons weg, der Rest ist...

Anzeige
Stellenmarkt
  1. telekom, Leinfelden-Echterdingen
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Zühlke Engineering GmbH, Hannover, München, Eschborn (Frankfurt am Main)
  4. ROMACO Pharmatechnik GmbH, Karlsruhe
Anzeige
Top-Angebote
  1. 449,00€ (Bestpreis!)
  2. 19,99€ für Prime-Mitglieder (Vergleichspreis 30€)
  3. 699€ (Bestpreis!)
Folgen Sie uns
       
Videos
Call of Duty - Trailer (Modern Warfare Remastered 2017) Call of Duty - Trailer (Modern Warfare Remastered 2017)
Ticker
  1. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  2. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  3. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  4. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

  5. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  6. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  7. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  8. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  9. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  10. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
E3 2017
Skull & Bones angespielt: Frischer Wind für die Segel
Skull & Bones angespielt
Frischer Wind für die Segel
  1. Forza Motorsport 7 Dynamische Wolken und wackelnde Rückspiegel
  2. Square Enix Die stürmischen Ereignisse vor Life is Strange
  3. Spider-Man Superheld mit Alltagssorgen
Sony Xperia
Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s
Arduino
1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
Forumsbeiträge »
  1. Deutschland-Chef der Telekom Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

    Re: Kann er sich mal entscheiden?

    Ovaron | 05:04

  2. Beta Archive Microsoft bestätigt Leck des Windows-10-Quellcodes

    Re: NUR 1,2 GByte?

    Wallbreaker | 03:24

  3. Beta Archive Microsoft bestätigt Leck des Windows-10-Quellcodes

    Re: Darauf ein Glas Wine

    Wallbreaker | 03:02

  4. Bitcoin-Mining 3-TH/s-Neptune wird der erste 20-Nanometer-Chip

    Re: Lohnt sich Bitcoin mining...

    Bernd Schneider | 02:39

  5. Zero-Rating StreamOn der Telekom bei 200.000 Kunden

    Re: StreamOn gibt's kostenlos dazu (leider)

    tbxi | 02:05

Ticker »
  1. Zero-Rating StreamOn der Telekom bei 200.000 Kunden

    14:37

  2. Beta Archive Microsoft bestätigt Leck des Windows-10-Quellcodes

    14:28

  3. Deutschland-Chef der Telekom Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

    12:01

  4. Sipgate Satellite Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

    10:37

  5. Rockstar Games "Normalerweise" keine Klagen gegen GTA-Modder

    13:30

  6. Stromnetz Tennet warnt vor Trassen-Maut für bayerische Bauern

    12:14

  7. Call of Duty Modern Warfare Remastered erscheint alleine lauffähig

    11:43

  8. Gmail Google scannt Mails künftig nicht mehr für Werbung

    10:51

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel