Tor-Netzwerk: Sicherheitslücke für Tor Browser 7 veröffentlicht

Der Exploit-Händler Zerodium hat eine kurze Beschreibung einer Schwachstelle im nicht mehr aktuellen Tor Browser 7.x getwittert. Die Lücke befindet sich in der mitgelieferten Erweiterung NoScript. Der kürzlich veröffentlichte Tor Browser 8 aktualisiert den Firefox-Unterbau auf Firefox 60 und damit auf die neuen Webextensions. NoScript wurde hierfür komplett neu geschrieben und ist von der Sicherheitslücke nicht betroffen. Die alte XUL-Version von NoScript wurde von den Entwicklern bereits gepatcht.

Ein im Tor Browser integrierter Security Slider bietet dem Nutzer die Möglichkeit, sein Sicherheitslevel selbst festzulegen. Stellt er es von Standard auf "sicherer" oder "am sichersten" werden mit Hilfe der integrierten Firefox-Erweiterung NoScript bestimmte Funktionen wie das Abspielen von HTML5-Videos oder das Ausführen von JavaScript eingeschränkt oder unterbunden. JavaScript kann unter anderem dazu benutzt werden, Programme zu schreiben oder Lücken auszunutzen, mit deren Hilfe die Nutzer des Tor Browsers deanonymisiert oder ihre Geräte angegriffen werden können.

Der Exploit umgeht den Schutz von NoScript und lässt auch im sichersten Modus die Ausführung von JavaScript-Code zu. Technisch ist das recht trivial: Der Content-Type eines JavaScripts muss von "HTML/JS" auf "text/html/json" abgeändert werden. Das JavaScript wird durchgewunken beziehungsweise von NoScript nicht als solches erkannt. Hierdurch kann der Zugriff von einer Webseite oder einem Onion Service - früher Hidden Service - auf eine weitere Sicherheitslücke ermöglicht werden, die der Security Slider sonst unterbunden hätte. Einen solchen JavaScript-basierten Angriff wendete beispielsweise 2013 das FBI mit seiner Schadsoftware Magneto an und enttarnte damit Tor-Nutzer.

Die Auto-Update Funktion des Tor Browsers dürfte zu einem schnellen Aussterben des Tor Browsers 7.x führen. Die Schwachstelle wurde damit für Zerodium wertlos und konnte veröffentlicht werden. Möglicherweise erhofft die Firma sich eine Werberwirkung durch die generierte Aufmerksamkeit. Zerodium kauft 0-Day Sicherheitslücken und Exploits in Betriebssystemen oder Anwendungssoftware wie Webbrowsern auf, um sie anschließend gemeinsam mit Sicherheitsempfehlungen an ausgewählte Staaten und Konzerne zu verkaufen.

Im Dezember 2017 hatte Zerodium ein Bug Bounty für den Tor Browser ausgeschrieben. Die Firma erhielt nach eigener Aussage mehrere Exploits für den Tor Browser, die "ihren Ansprüchen genügten". Die Sicherheitslücke in NoScript wurde vor mehreren Monaten gekauft und mit den Regierungskunden von Zerodium geteilt. Der Grundsatz von Zerodium ist es, die Lücken nicht an die Entwickler der Software zu melden. Die Schwachstellen bleiben in den Produkten bestehen. Zerodium-Kunden können sie nun selbst schließen - oder sie heimlich ausnutzen.