Linux und Mac: Tor-Browser-Exploit verrät IP-Adresse einiger Nutzer

Unter bestimmten Voraussetzungen verrät der Tor-Browser die unverschleierte IP-Adresse der Nutzer. Betroffen sind nur Mac und Linux-Versionen des Firefox-Bundles, in der täglichen Nutzung dürfte der Fehler nur wenige Personen betreffen.

Artikel veröffentlicht am ,
Eine Sicherheitslücke im Tor-Browser ist geschlossen worden.
Eine Sicherheitslücke im Tor-Browser ist geschlossen worden. (Bild: David Bates/Golem.de)

Das Tor-Projekt hat ein Notfallupdate für die Linux- und Mac-Versionen des Tor-Browser-Bundles veröffentlicht. Unter bestimmten Umständen verraten die beiden betroffenen Versionen die reale IP-Adresse der Nutzer und machen somit die angestrebte Anonymität kaputt. Die Windows-Version des Tor-Browsers, die Tails-Distribution und der im Alpha-Test befindliche Tor-Browser mit Sandboxing sollen nicht betroffen sein.

Stellenmarkt
  1. Expertinnen bzw. Experten Qualitätssicherung Softwareentwicklung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. DevOps Engineer (m/w/d)
    Friedrich PICARD GmbH & Co. KG, Bochum
Detailsuche

Der Fehler tritt auf, wenn Nutzer eine Adresse mit dem Präfix file:// aufrufen und nicht, wie gewöhnlich mit http:// oder https://. Rufen Nutzer eine solche Adresse auf, wird eine direkte Interaktion zwischen dem Betriebssystem und dem Webserver getriggert und die IP-Adresse nicht mehr anonymisiert. Ob die Webseite für einen erfolgreichen Angriff weitere Voraussetzungen erfüllen muss, geht aus dem Blogpost des Finders der Sicherheitslücke, Filippo Cavallarin, dem CEO der Firma Segment, nicht hervor. Das normale Browsen im Tor-Browser wird durch den Fehler nicht beeinflusst.

javascript:void(0)Workaround kann noch zu Problemen führen

Das Tor-Projekt hat einen vorläufigen Fix veröffentlicht, der jedoch zu Problemen mit file://-Ressourcen führen kann. Für die meisten Nutzer dürfte das allerdings zu verschmerzen sein. Die aktuelle Version für Mac und Linux ist 7.0.9. Windows-Nutzer können auf Version 7.0.8 bleiben. Derzeit soll es keine Belege für aktive Angriffe mit dem Exploit geben.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Am Montag, dem 6. November, soll eine neue Version im Alpha-Channel erscheinen, um auch in diesen Versionen die Sicherheitslücke zu patchen. Diese Versionen sind aber ohnehin nicht für den Produktiveinsatz gedacht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raumfahrt
Astra startet mit großen Ambitionen Billigraketen in Alaska

Mit 250.000 US-Dollar sollen die Raketen von Astra zum Preis eines Sportwagens hergestellt werden können. Wie will die Firma das schaffen?
Von Frank Wunderlich-Pfeiffer

Raumfahrt: Astra startet mit großen Ambitionen Billigraketen in Alaska
Artikel
  1. Ubisoft: Avatar statt Assassin's Creed
    Ubisoft
    Avatar statt Assassin's Creed

    E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

  2. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

R00toym 06. Nov 2017

Kannst du das ganze bitte etwas erläutern? Ich habe das verhalten absolut nicht...

GetModuleHandle 05. Nov 2017

Immer denkst du nur an die Scheine .. Bleibe doch mal auf dem Teppich. #Troll


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /