Abo
  • IT-Karriere:

Tor-Netzwerk: Sicherheitslücke für Tor Browser 7 veröffentlicht

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.

Artikel veröffentlicht am , Moritz Tremmel
Tor funktioniert nach dem Zwiebelprinzip.
Tor funktioniert nach dem Zwiebelprinzip. (Bild: spraints/CC-BY-SA 2.0)

Der Exploit-Händler Zerodium hat eine kurze Beschreibung einer Schwachstelle im nicht mehr aktuellen Tor Browser 7.x getwittert. Die Lücke befindet sich in der mitgelieferten Erweiterung NoScript. Der kürzlich veröffentlichte Tor Browser 8 aktualisiert den Firefox-Unterbau auf Firefox 60 und damit auf die neuen Webextensions. NoScript wurde hierfür komplett neu geschrieben und ist von der Sicherheitslücke nicht betroffen. Die alte XUL-Version von NoScript wurde von den Entwicklern bereits gepatcht.

Stellenmarkt
  1. Universität der Bundeswehr München, Neubiberg
  2. EnBW Energie Baden-Württemberg AG, Karlsruhe

Ein im Tor Browser integrierter Security Slider bietet dem Nutzer die Möglichkeit, sein Sicherheitslevel selbst festzulegen. Stellt er es von Standard auf "sicherer" oder "am sichersten" werden mit Hilfe der integrierten Firefox-Erweiterung NoScript bestimmte Funktionen wie das Abspielen von HTML5-Videos oder das Ausführen von JavaScript eingeschränkt oder unterbunden. JavaScript kann unter anderem dazu benutzt werden, Programme zu schreiben oder Lücken auszunutzen, mit deren Hilfe die Nutzer des Tor Browsers deanonymisiert oder ihre Geräte angegriffen werden können.

Der Exploit umgeht den Schutz von NoScript und lässt auch im sichersten Modus die Ausführung von JavaScript-Code zu. Technisch ist das recht trivial: Der Content-Type eines JavaScripts muss von "HTML/JS" auf "text/html/json" abgeändert werden. Das JavaScript wird durchgewunken beziehungsweise von NoScript nicht als solches erkannt. Hierdurch kann der Zugriff von einer Webseite oder einem Onion Service - früher Hidden Service - auf eine weitere Sicherheitslücke ermöglicht werden, die der Security Slider sonst unterbunden hätte. Einen solchen JavaScript-basierten Angriff wendete beispielsweise 2013 das FBI mit seiner Schadsoftware Magneto an und enttarnte damit Tor-Nutzer.

Die Auto-Update Funktion des Tor Browsers dürfte zu einem schnellen Aussterben des Tor Browsers 7.x führen. Die Schwachstelle wurde damit für Zerodium wertlos und konnte veröffentlicht werden. Möglicherweise erhofft die Firma sich eine Werberwirkung durch die generierte Aufmerksamkeit. Zerodium kauft 0-Day Sicherheitslücken und Exploits in Betriebssystemen oder Anwendungssoftware wie Webbrowsern auf, um sie anschließend gemeinsam mit Sicherheitsempfehlungen an ausgewählte Staaten und Konzerne zu verkaufen.

Im Dezember 2017 hatte Zerodium ein Bug Bounty für den Tor Browser ausgeschrieben. Die Firma erhielt nach eigener Aussage mehrere Exploits für den Tor Browser, die "ihren Ansprüchen genügten". Die Sicherheitslücke in NoScript wurde vor mehreren Monaten gekauft und mit den Regierungskunden von Zerodium geteilt. Der Grundsatz von Zerodium ist es, die Lücken nicht an die Entwickler der Software zu melden. Die Schwachstellen bleiben in den Produkten bestehen. Zerodium-Kunden können sie nun selbst schließen - oder sie heimlich ausnutzen.



Anzeige
Spiele-Angebote
  1. (-25%) 44,99€
  2. 29,99€
  3. 24,99€

Fritz-Box 15. Sep 2018

Was für ein FUD. Natürlich funktioniert Wikipedia noch ausgezeichnet ohne JS. Gerade...


Folgen Sie uns
       


Doom Eternal angespielt

Slayer im Kampf gegen die Höllendämonen: Doom Eternal soll noch in diesem Jahr erscheinen.

Doom Eternal angespielt Video aufrufen
Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

    •  /