Abo
  • Services:

Tor-Netzwerk: Sicherheitslücke für Tor Browser 7 veröffentlicht

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.

Artikel veröffentlicht am , Moritz Tremmel
Tor funktioniert nach dem Zwiebelprinzip.
Tor funktioniert nach dem Zwiebelprinzip. (Bild: spraints/CC-BY-SA 2.0)

Der Exploit-Händler Zerodium hat eine kurze Beschreibung einer Schwachstelle im nicht mehr aktuellen Tor Browser 7.x getwittert. Die Lücke befindet sich in der mitgelieferten Erweiterung NoScript. Der kürzlich veröffentlichte Tor Browser 8 aktualisiert den Firefox-Unterbau auf Firefox 60 und damit auf die neuen Webextensions. NoScript wurde hierfür komplett neu geschrieben und ist von der Sicherheitslücke nicht betroffen. Die alte XUL-Version von NoScript wurde von den Entwicklern bereits gepatcht.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Ein im Tor Browser integrierter Security Slider bietet dem Nutzer die Möglichkeit, sein Sicherheitslevel selbst festzulegen. Stellt er es von Standard auf "sicherer" oder "am sichersten" werden mit Hilfe der integrierten Firefox-Erweiterung NoScript bestimmte Funktionen wie das Abspielen von HTML5-Videos oder das Ausführen von JavaScript eingeschränkt oder unterbunden. JavaScript kann unter anderem dazu benutzt werden, Programme zu schreiben oder Lücken auszunutzen, mit deren Hilfe die Nutzer des Tor Browsers deanonymisiert oder ihre Geräte angegriffen werden können.

Der Exploit umgeht den Schutz von NoScript und lässt auch im sichersten Modus die Ausführung von JavaScript-Code zu. Technisch ist das recht trivial: Der Content-Type eines JavaScripts muss von "HTML/JS" auf "text/html/json" abgeändert werden. Das JavaScript wird durchgewunken beziehungsweise von NoScript nicht als solches erkannt. Hierdurch kann der Zugriff von einer Webseite oder einem Onion Service - früher Hidden Service - auf eine weitere Sicherheitslücke ermöglicht werden, die der Security Slider sonst unterbunden hätte. Einen solchen JavaScript-basierten Angriff wendete beispielsweise 2013 das FBI mit seiner Schadsoftware Magneto an und enttarnte damit Tor-Nutzer.

Die Auto-Update Funktion des Tor Browsers dürfte zu einem schnellen Aussterben des Tor Browsers 7.x führen. Die Schwachstelle wurde damit für Zerodium wertlos und konnte veröffentlicht werden. Möglicherweise erhofft die Firma sich eine Werberwirkung durch die generierte Aufmerksamkeit. Zerodium kauft 0-Day Sicherheitslücken und Exploits in Betriebssystemen oder Anwendungssoftware wie Webbrowsern auf, um sie anschließend gemeinsam mit Sicherheitsempfehlungen an ausgewählte Staaten und Konzerne zu verkaufen.

Im Dezember 2017 hatte Zerodium ein Bug Bounty für den Tor Browser ausgeschrieben. Die Firma erhielt nach eigener Aussage mehrere Exploits für den Tor Browser, die "ihren Ansprüchen genügten". Die Sicherheitslücke in NoScript wurde vor mehreren Monaten gekauft und mit den Regierungskunden von Zerodium geteilt. Der Grundsatz von Zerodium ist es, die Lücken nicht an die Entwickler der Software zu melden. Die Schwachstellen bleiben in den Produkten bestehen. Zerodium-Kunden können sie nun selbst schließen - oder sie heimlich ausnutzen.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)
  3. 5€ inkl. FSK-18-Versand

Fritz-Box 15. Sep 2018

Was für ein FUD. Natürlich funktioniert Wikipedia noch ausgezeichnet ohne JS. Gerade...


Folgen Sie uns
       


Playstation Classic im Vergleichstest - Golem retro_ Spezial

Sonys Mini-Konsole Playstation Classic ist knuffig. In unserem Golem-retro_-Spezial beleuchten wir die Spieleauswahl und Hardware im Detail.

Playstation Classic im Vergleichstest - Golem retro_ Spezial Video aufrufen
Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit
  2. Bosch Touch-Projektoren angesehen Virtuelle Displays für Küche und Schrank
  3. Mobilität Das Auto der Zukunft ist modular und wandelbar

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Monowheel Z-One One Die Elektro-Vespa auf einem Rad
  2. 2nd Life Ausgemusterte Bus-Akkus speichern jetzt Solarenergie
  3. Weniger Aufwand Elektroautos sollen in Deutschland 114.000 Jobs kosten

Vivy & Co.: Gesundheitsapps kranken an der Sicherheit
Vivy & Co.
Gesundheitsapps kranken an der Sicherheit

35C3 Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Von Moritz Tremmel

  1. Krankenkassen Vivy-App gibt Daten preis
  2. Krankenversicherung Der Papierkrieg geht weiter
  3. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche

    •  /