Abo
  • IT-Karriere:

Tor-Netzwerk: Sicherheitslücke für Tor Browser 7 veröffentlicht

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.

Artikel veröffentlicht am , Moritz Tremmel
Tor funktioniert nach dem Zwiebelprinzip.
Tor funktioniert nach dem Zwiebelprinzip. (Bild: spraints/CC-BY-SA 2.0)

Der Exploit-Händler Zerodium hat eine kurze Beschreibung einer Schwachstelle im nicht mehr aktuellen Tor Browser 7.x getwittert. Die Lücke befindet sich in der mitgelieferten Erweiterung NoScript. Der kürzlich veröffentlichte Tor Browser 8 aktualisiert den Firefox-Unterbau auf Firefox 60 und damit auf die neuen Webextensions. NoScript wurde hierfür komplett neu geschrieben und ist von der Sicherheitslücke nicht betroffen. Die alte XUL-Version von NoScript wurde von den Entwicklern bereits gepatcht.

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Lemgo
  2. DKV MOBILITY SERVICES Business Center, Ratingen bei Düsseldorf

Ein im Tor Browser integrierter Security Slider bietet dem Nutzer die Möglichkeit, sein Sicherheitslevel selbst festzulegen. Stellt er es von Standard auf "sicherer" oder "am sichersten" werden mit Hilfe der integrierten Firefox-Erweiterung NoScript bestimmte Funktionen wie das Abspielen von HTML5-Videos oder das Ausführen von JavaScript eingeschränkt oder unterbunden. JavaScript kann unter anderem dazu benutzt werden, Programme zu schreiben oder Lücken auszunutzen, mit deren Hilfe die Nutzer des Tor Browsers deanonymisiert oder ihre Geräte angegriffen werden können.

Der Exploit umgeht den Schutz von NoScript und lässt auch im sichersten Modus die Ausführung von JavaScript-Code zu. Technisch ist das recht trivial: Der Content-Type eines JavaScripts muss von "HTML/JS" auf "text/html/json" abgeändert werden. Das JavaScript wird durchgewunken beziehungsweise von NoScript nicht als solches erkannt. Hierdurch kann der Zugriff von einer Webseite oder einem Onion Service - früher Hidden Service - auf eine weitere Sicherheitslücke ermöglicht werden, die der Security Slider sonst unterbunden hätte. Einen solchen JavaScript-basierten Angriff wendete beispielsweise 2013 das FBI mit seiner Schadsoftware Magneto an und enttarnte damit Tor-Nutzer.

Die Auto-Update Funktion des Tor Browsers dürfte zu einem schnellen Aussterben des Tor Browsers 7.x führen. Die Schwachstelle wurde damit für Zerodium wertlos und konnte veröffentlicht werden. Möglicherweise erhofft die Firma sich eine Werberwirkung durch die generierte Aufmerksamkeit. Zerodium kauft 0-Day Sicherheitslücken und Exploits in Betriebssystemen oder Anwendungssoftware wie Webbrowsern auf, um sie anschließend gemeinsam mit Sicherheitsempfehlungen an ausgewählte Staaten und Konzerne zu verkaufen.

Im Dezember 2017 hatte Zerodium ein Bug Bounty für den Tor Browser ausgeschrieben. Die Firma erhielt nach eigener Aussage mehrere Exploits für den Tor Browser, die "ihren Ansprüchen genügten". Die Sicherheitslücke in NoScript wurde vor mehreren Monaten gekauft und mit den Regierungskunden von Zerodium geteilt. Der Grundsatz von Zerodium ist es, die Lücken nicht an die Entwickler der Software zu melden. Die Schwachstellen bleiben in den Produkten bestehen. Zerodium-Kunden können sie nun selbst schließen - oder sie heimlich ausnutzen.



Anzeige
Top-Angebote
  1. 122,89€
  2. GRATIS
  3. (u. a. Twilight Struggle, Carcassonne, Mysterium, Scythe)
  4. 149,00€

Fritz-Box 15. Sep 2018

Was für ein FUD. Natürlich funktioniert Wikipedia noch ausgezeichnet ohne JS. Gerade...


Folgen Sie uns
       


Cray X Exoskelett angesehen (Hannover Messe 2019)

Cray X ist ein aktives Exoskelett, das beim Heben unterstützt. Das Video stellt das System vor.

Cray X Exoskelett angesehen (Hannover Messe 2019) Video aufrufen
P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
P30 Pro im Kameratest
Huawei baut die vielseitigste Smartphone-Kamera

Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
Ein Test von Tobias Költzsch

  1. CIA-Vorwürfe Huawei soll von chinesischer Regierung finanziert werden
  2. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
  3. 5G-Ausbau Sicherheitskriterien führen nicht zu Ausschluss von Huawei

Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
Fitbit Versa Lite im Test
Eher smartes als sportliches Wearable

Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
Von Peter Steinlechner

  1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
  2. Inspire Fitbits neues Wearable gibt es nicht im Handel
  3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

Urheberrechtsreform: Was das Internet nicht vergessen sollte
Urheberrechtsreform
Was das Internet nicht vergessen sollte

Die Reform des europäischen Urheberrechts ist eine Niederlage für viele Netzaktivisten. Zwar sind die Folgen der Richtlinie derzeit kaum absehbar. Doch es sollten die richtigen Lehren aus der jahrelangen Debatte mit den Internetgegnern gezogen werden.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht VG Media will Milliarden von Google
  2. Urheberrecht Uploadfilter und Leistungsschutzrecht endgültig beschlossen
  3. Urheberrecht Merkel bekräftigt Zustimmung zu Uploadfiltern

    •  /