Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Linux und Mac: Tor-Browser-Exploit verrät IP-Adresse einiger Nutzer

Unter bestimmten Voraussetzungen verrät der Tor-Browser die unverschleierte IP-Adresse der Nutzer. Betroffen sind nur Mac und Linux -Versionen des Firefox-Bundles, in der täglichen Nutzung dürfte der Fehler nur wenige Personen betreffen.
/ Hauke Gierow
4 Kommentare News folgen (öffnet im neuen Fenster)
Eine Sicherheitslücke im Tor-Browser ist geschlossen worden. (Bild: David Bates/Golem.de)
Eine Sicherheitslücke im Tor-Browser ist geschlossen worden. Bild: David Bates/Golem.de

Das Tor-Projekt hat ein Notfallupdate(öffnet im neuen Fenster) für die Linux- und Mac-Versionen des Tor-Browser-Bundles veröffentlicht. Unter bestimmten Umständen verraten die beiden betroffenen Versionen die reale IP-Adresse der Nutzer und machen somit die angestrebte Anonymität kaputt. Die Windows-Version des Tor-Browsers, die Tails-Distribution und der im Alpha-Test befindliche Tor-Browser mit Sandboxing sollen nicht betroffen sein.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Consultant Informationssicherheit (M/W/D) Bluvit GmbH, Lohfelden (öffnet im neuen Fenster)
Identity-Management Experte (m/w/d) Robert-Bosch-Krankenhaus GmbH, Stuttgart (öffnet im neuen Fenster)
IT-Revisor (m/w/d) Investitions- und Strukturbank Rheinland-Pfalz (ISB), Mainz (öffnet im neuen Fenster)
Inhouse Berater:in SAP HCM (m/w/d) Hörmann Deutschland, Steinhagen (öffnet im neuen Fenster)
ERP-Systembetreuer (m/w/d) Alexander Binzel Schweisstechnik GmbH & Co. KG, Buseck (öffnet im neuen Fenster)
Dual Studierenden (m/w/d) - Dienstleistungsmanagement (Bachelor of Arts) in der Energiewirtschaft Stadtwerke Erfurt Gruppe, Gera (öffnet im neuen Fenster)
E-Commerce Manager (m/w/d) Onlinehandel für Handwerksbedarf & Bauprodukte WULFF GmbH u. Co. KG, Lotte (öffnet im neuen Fenster)
Werkstudenten (m/w/d) IT Fidlock GmbH, Hannover (öffnet im neuen Fenster)

Der Fehler tritt auf, wenn Nutzer eine Adresse mit dem Präfix file:// aufrufen und nicht, wie gewöhnlich mit http:// oder https://. Rufen Nutzer eine solche Adresse auf, wird eine direkte Interaktion zwischen dem Betriebssystem und dem Webserver getriggert und die IP-Adresse nicht mehr anonymisiert. Ob die Webseite für einen erfolgreichen Angriff weitere Voraussetzungen erfüllen muss, geht aus dem Blogpost des Finders der Sicherheitslücke(öffnet im neuen Fenster) , Filippo Cavallarin, dem CEO der Firma Segment, nicht hervor. Das normale Browsen im Tor-Browser wird durch den Fehler nicht beeinflusst.

javascript:void(0)Workaround kann noch zu Problemen führen

Das Tor-Projekt hat einen vorläufigen Fix veröffentlicht, der jedoch zu Problemen mit file://-Ressourcen führen kann. Für die meisten Nutzer dürfte das allerdings zu verschmerzen sein. Die aktuelle Version für Mac und Linux ist 7.0.9. Windows-Nutzer können auf Version 7.0.8 bleiben. Derzeit soll es keine Belege für aktive Angriffe mit dem Exploit geben.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Am Montag, dem 6. November, soll eine neue Version im Alpha-Channel erscheinen, um auch in diesen Versionen die Sicherheitslücke zu patchen. Diese Versionen sind aber ohnehin nicht für den Produktiveinsatz gedacht.

Zur Startseite 4 Kommentare

Relevante Themen

SecuritySicherheitslückeVerschlüsselungTor-NetzwerkDatensicherheitInternetAnonymität