06.08.2013 18:00

Sicherheitslücke in älteren Tor Browser Bundles

In älteren, vor dem 26.6.2013 erschienenen, Versionen des Tor Browser Bundles existiert eine Javascript-Sicherheitslücke im zugehörigen Firefox 17 ESR. Diese wurde, wie unter anderem heise berichtet, anscheinend ausgenützt um Anwender des Anonymisierungs-Tools möglichst eindeutig zu identifizieren. Hintergründe und Theorien dazu finden sich in zahlreichen Medienberichten, wie z.B. dem o.a. heise-Artikel oder bei The Register.

Das Tor Project hat ein Security Advisory mit einer ausführlichen Analyse veröffentlicht. Demnach war/ist der Angriff offensichtlich gezielt gegen User gerichtet, die das Tor Browser Bundle unter Windows verwenden. Konsequenterweise lautet eine der Empfehlungen dann auch:

"... consider switching to a "live system" approach like Tails. Really, switching away from Windows is probably a good security move for many reasons."

Für viele Anwender vermutlich leichter umzusetzen sind die Ratschläge, das Tor Browser Bundle stets aktuell zu halten und Javascript global zu verbieten.

Die Tor-Entwickler weisen auch auf weitere potentielle Angriffsziele in Firefox hin, wie z.B. CSS, SVG, XML und den Renderer. Daher bitten sie um Mithilfe bei der Weiterentwicklung von Tor und dem Tor-Browser-Bundle.

Fazit von heise: "Insgesamt wird immer deutlicher, dass wer Tor nutzt, sehr genau wissen sollte was er tut, da er sich einem stark erhöhten Angriffsrisiko aussetzt."

Autor: Stephan Richter