Tor-Netzwerk: Sicherheitslücke für Tor Browser 7 veröffentlicht

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.

Artikel veröffentlicht am , Moritz Tremmel
Tor funktioniert nach dem Zwiebelprinzip.
Tor funktioniert nach dem Zwiebelprinzip. (Bild: spraints/CC-BY-SA 2.0)

Der Exploit-Händler Zerodium hat eine kurze Beschreibung einer Schwachstelle im nicht mehr aktuellen Tor Browser 7.x getwittert. Die Lücke befindet sich in der mitgelieferten Erweiterung NoScript. Der kürzlich veröffentlichte Tor Browser 8 aktualisiert den Firefox-Unterbau auf Firefox 60 und damit auf die neuen Webextensions. NoScript wurde hierfür komplett neu geschrieben und ist von der Sicherheitslücke nicht betroffen. Die alte XUL-Version von NoScript wurde von den Entwicklern bereits gepatcht.

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin (d/m/w)
    THD - Technische Hochschule Deggendorf, Spiegelau
  2. IT Specialist Messaging - Exchange (m/w/d)
    Dr. August Oetker Nahrungsmittel KG, Bielefeld
Detailsuche

Ein im Tor Browser integrierter Security Slider bietet dem Nutzer die Möglichkeit, sein Sicherheitslevel selbst festzulegen. Stellt er es von Standard auf "sicherer" oder "am sichersten" werden mit Hilfe der integrierten Firefox-Erweiterung NoScript bestimmte Funktionen wie das Abspielen von HTML5-Videos oder das Ausführen von JavaScript eingeschränkt oder unterbunden. JavaScript kann unter anderem dazu benutzt werden, Programme zu schreiben oder Lücken auszunutzen, mit deren Hilfe die Nutzer des Tor Browsers deanonymisiert oder ihre Geräte angegriffen werden können.

Der Exploit umgeht den Schutz von NoScript und lässt auch im sichersten Modus die Ausführung von JavaScript-Code zu. Technisch ist das recht trivial: Der Content-Type eines JavaScripts muss von "HTML/JS" auf "text/html/json" abgeändert werden. Das JavaScript wird durchgewunken beziehungsweise von NoScript nicht als solches erkannt. Hierdurch kann der Zugriff von einer Webseite oder einem Onion Service - früher Hidden Service - auf eine weitere Sicherheitslücke ermöglicht werden, die der Security Slider sonst unterbunden hätte. Einen solchen JavaScript-basierten Angriff wendete beispielsweise 2013 das FBI mit seiner Schadsoftware Magneto an und enttarnte damit Tor-Nutzer.

Die Auto-Update Funktion des Tor Browsers dürfte zu einem schnellen Aussterben des Tor Browsers 7.x führen. Die Schwachstelle wurde damit für Zerodium wertlos und konnte veröffentlicht werden. Möglicherweise erhofft die Firma sich eine Werberwirkung durch die generierte Aufmerksamkeit. Zerodium kauft 0-Day Sicherheitslücken und Exploits in Betriebssystemen oder Anwendungssoftware wie Webbrowsern auf, um sie anschließend gemeinsam mit Sicherheitsempfehlungen an ausgewählte Staaten und Konzerne zu verkaufen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

Im Dezember 2017 hatte Zerodium ein Bug Bounty für den Tor Browser ausgeschrieben. Die Firma erhielt nach eigener Aussage mehrere Exploits für den Tor Browser, die "ihren Ansprüchen genügten". Die Sicherheitslücke in NoScript wurde vor mehreren Monaten gekauft und mit den Regierungskunden von Zerodium geteilt. Der Grundsatz von Zerodium ist es, die Lücken nicht an die Entwickler der Software zu melden. Die Schwachstellen bleiben in den Produkten bestehen. Zerodium-Kunden können sie nun selbst schließen - oder sie heimlich ausnutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Software
Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise

Teslas Autos haben viel Elektronik an Bord, doch die Chipkrise scheint dem Unternehmen nichts anzuhaben. Elon Musk erzählt, wie das geschafft wurde.

Software: Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise
Artikel
  1. Sexismus: Mitarbeiter von Blizzard wenden sich gegen Management
    Sexismus
    Mitarbeiter von Blizzard wenden sich gegen Management

    Der Konflikt bei Activision Blizzard eskaliert, die Arbeit an World of Warcraft soll weitgehend eingestellt sein.

  2. Surface: Microsoft patentiert ungewöhnliches Scharnier für Notebooks
    Surface
    Microsoft patentiert ungewöhnliches Scharnier für Notebooks

    Baut Microsoft ein neues Surface-Gerät? Patentgrafiken zeigen zumindest ein bisher unbekanntes Gerät mit einem ungewöhnlichen Scharnier.

  3. Energiespeicher: Tesla nennt Preis für Megapack-Akku mit 3 MWh
    Energiespeicher
    Tesla nennt Preis für Megapack-Akku mit 3 MWh

    Das Tesla Megapack ist ein industrielles Akkusystem mit einer Kapazität von 3 Megawattstunden. Nun wurde der Online-Konfiguratur online gestellt.

Fritz-Box 15. Sep 2018

Was für ein FUD. Natürlich funktioniert Wikipedia noch ausgezeichnet ohne JS. Gerade...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial Ballistix 16GB Kit 3200MHz 66,66€ • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung 27" Curved FHD 240Hz 239,90€ • OnePlus Nord CE 5G 128GB 299,49€ • Microsoft Flight Simulator Xbox Series X 69,99€ • 3 für 2 Spiele bei MM [Werbung]
    •  /