Achtung: Firefox Zero-Day-Exploit enttarnt Tor-Nutzer

Im Firefox-Browser gibt es eine gravierende Sicherheitslücke, die in einem Zero-Day-Exploit aktiv ausgenutzt wird, um Tor-Nutzer zu enttarnen. Der Fehler tritt unter Windows auf, wenn JavaScript aktiviert ist und könnte auch andere Firefox-Nutzer treffen. Die Firefox-Entwickler suchen momentan nach einem Fix.


Anzeige

Der erste Hinweise auf eine Zero-Day-Sicherheitslücke findet sich in diesem Tor-Foren-Posting vom 29. November 2016.

This is an Javascript exploit actively used against TorBrowser NOW. It consists of one HTML and one CSS file, both pasted below and also de-obscured. The exact functionality is unknown but it's getting access to "VirtualAlloc" in "kernel32.dll" and goes from there. Please fix ASAP.

Dann folgt der Code des JavaScript-Exploits im betreffenden Posting. Kurz danach wurde diese Sicherheitslücke durch den Gründer des Tor-Projekts, Roger Dingledine, bestätigt. Die Datei kernel32.dll gehört zu Windows, sprich, der Exploit ist nur unter diesem Betriebssystem möglich.

Sicherheitsforscher haben zwischenzeitlich bestätigt, dass der fragliche JavaScript-Code einen Memory Corruption-Fehler auslöst. Dadurch kann Schadcode unter Windows ausgeführt werden.

In einem Tweet weist @TheWack0lian darauf hin, dass dieser Angriffsvektor bereits 2013 durch das FBI ausgenutzt wurde (siehe diesen Arstechnica-Artikel). Man muss also davon ausgehen, dass der Exploit bei den betreffenden staatlichen Institutionen bekannt ist und wohl auch ausgenutzt wird.

Weitere Analysen legen nahe, dass der Exploit einen Remote Code Execution-Angriff unter Windows ermöglicht. Und das dürfte nicht nur Tor-Nutzer sondern jeden Firefox-Anwender tangieren. Die Schwachstelle scheint wohl in einer breiten Palette an Firefox-Versionen (Version 41 bis 50) zu finden sein. Bis ein Fix von den Mozilla-Entwicklern ausgerollt wird, hilft wohl nur, JavaScript im Browser abzuschalten. Weitere Hinweise finden sich in diesem ArsTechnica-Beitrag. Nachtrag: Zwischenzeitlich hat heise.de einen erweiterten deutschsprachigen Beitrag zum Thema publiziert.

Nachtrag: Wie in den folgenden Kommentaren bereits erwähnt, gibt es Updates. Details im Artikel Neue Firefox Version 50.0.2 und Tor-Update 6.0.7.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Firefox, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Achtung: Firefox Zero-Day-Exploit enttarnt Tor-Nutzer

  1. user sagt:

    Hallo,

    ist somit auch die kürzlich erschienene Firefox-Version 50.0.1 betroffen?

  2. Thürk Maschke sagt:

    MoinMoin:-)

    Klage eines Anonymen:

    Hier steh' ich nun,
    ich armer Thor!
    und werd' gehackt wie nie zuvor…

    Wo böse Kräfte sich entfalten,
    da kann das Netz sich nicht gestalten.
    Wo sich die User s e l b s t befrei'n
    da kann der Hacker n i c h t gedeih'n!

    Willst du jedoch gekapert werden,
    musst Windows nutzen du auf Erden.
    Hast du noch keines, ist das schädlich,
    Für M i c r o s o f t.
    Denn:
    W i n d o w s macht es möglich!

    Guten Abend:-)

    • Nobody sagt:

      Der Geheimrat wäre stolz auf dich. ?

      • Thürk Maschke sagt:

        'nabend Nobody:)

        Um mir den digitalen Wahnsinn vom Leib zu halten,
        sind mir die Klassiker als Quelle von Inspiration das Schlechteste nicht.
        Am Verhalten der Menschheit hat sich seitdem ohnehin nichts geändert.
        Auf der Erde nicht und erst recht nicht im Web 2.0;-)
        Btw:
        Nicht nur der Herr Geheimrat war Quelle der Inspiration,
        auch sein "Dichterfeindfreund", Fritze Schiller:
        Im mittleren Teil schwingt die Glocke deutlich mit:)
        Der letzte Vers ist Selbstbefruchtung;)

        Schönen Abend^^

        • Nobody sagt:

          Die Kombination hat man selten:
          Kenner der deutschen Klassik und der elektronischen Netzverflechtung.

          • Thürk Maschke sagt:

            "Die Kombination hat man selten:
            Kenner der deutschen Klassik und der elektronischen Netzverflechtung."

            'nabend Nobody:)

            Das liegt wohl nur an der "Gnade der frühen Geburt"(1951);)
            Ohne einen meiner Freunde, welcher zwanzig Jahre jünger ist als ich,
            wäre ich nicht einmal "günnisseniorenclub50pluskompatibel".
            Besagter Freund entwickelte sich nach der Wende '89/90 buchstäblich zu einem Computer-Freak.
            Ich selbst war damals, als strammer "Aeller"(Alternative Liste West-Berlin), streng idiologisch, gegen "dieses Teufelszeug".
            Obwohl es den "Aluhut" damals noch gar nicht gab, hatten ich und viele andere den bereits keck auf den Köpfen und kämpften
            heroisch gegen "Birnes" Volkszählung; genaugenommen hatten wir da sogar schon Aluzylinder auf;-)
            Egal, jedenfalls schleppte Freund "Computer-Freak" mir stets sein ausgedientes Equipment ins Haus, baute alles auf und zwang mich vor den PC.
            Seine helle Begeisterung dabei steckte mich schliesslich an und so langsam, peu à peu, wuchs mein Interesse an der Sache.
            Vor allem "PacMan" hatte es mir angetan;)
            Heute bin ich froh, dass aus PC-Aversität, PC-Affinität geworden ist; mit dem "exclusiven" Vorteil, dass ich noch analog aufwachsen durfte/musste und
            meiner Generation noch genug Ruhe gegeben war und vor allem Zeit, sich mit analogen Dingen wie den Deutschen Klassikern beschäftigen zu können/dürfen/wollen/müssen.
            Wenn ich in diesem Zusammenhang an die Entwicklung heutiger, bzw., kommender Generationen, im evolutionärem Sinne denke, verheisst mir das eigentlich gar nichts Gutes.
            Aber vielleicht täusche ich mich ja auch…

            Schönen Abend:-)

          • Nobody sagt:

            Besten Dank für die digitale Kurzvita.
            Dem Freund mit seiner Zwangsbeglückung bist du anscheinend zu Dank verpflichtet.
            Man könnte an verschiedenen Stellen einhaken und die Thematik vertiefen . Dafür ist hier jedoch nicht der passende Ort.
            Wie zu vermuten bin auch ich schon ein etwas älteres Semester und besitze ein elektronisches Rechengerät erst seit 7 Jahren. Mittlerweile kann ich die Maus schon ganz gut von der Tastatur unterscheiden. ;-) Über das Stadium eines interessierten Laien bin ich leider nicht hinausgekommen.
            Salve

  3. ThBock sagt:

    Hm…
    Tor kommt doch standardmäßig mit installiertem NoScript.
    Ist das nicht auch standardmäßig aktiviert?
    Das hieße ja, man müsste NoScript explizit ausschalten, um gefährdet zu sein.

    • Die ersten zwei Sätze -> trifft zu

      Zum letzten Satz: genau das passiert – die Nutzer surfen eine Webseite an, diese liefert die Informationen aber nur, wenn JavaScript aktiviert ist -> kostet genau zwei Klicks und die Falle schlägt zu …

      • ThBock sagt:

        Aaaaah, ja!
        Die Sache mit dem "Brain"… :-)

      • chapeau sagt:

        nein, trifft so nicht zu.
        Im Tor-Browser ist Js per default auf aktiviert, schon seit einiger Zeit. Um die Nutzbarkeit zu erhöhen – auf Kosten der Sicherheit, da viele Seiten fast nur mit Js… und so:
        "Die Tor-Entwickler haben den Tradeoff zwischen einfacher Benutzbarkeit und Sicherheit in den Default-Einstellungen zugunsten der einfachen Benutzbarkeit entschieden. Es wird aber auch anerkannt, dass diese Einstellungen ein Sicherheitsrisiko sind." (https://www.privacy-handbuch.de/handbuch_24a.htm)

        Heißt, erst Noscript umfänglich auf on(!) und Js damit abschalten, dann keine Gefährdung (mehr).

        • "Im Tor-Browser ist Js per default auf aktiviert, schon seit einiger Zeit. "

          Kann ich definitiv für Tor 6.0.6 nicht bestätigen – da ist NoScript wohl aktiv. Ist das bei dir anders?

          • chapeau sagt:

            Nicht nur bei mir, das (bequem vor sicher) ist beim TB zunächst generell so, es sei denn, man umkonfiguriert den auf Sicherheit.
            Nur weil NoScript in den Addons ist, bedeutet das ja noch lange nicht, dass Javascript umfänglich blockiert wird. Nennt sich auch Konfiguration!
            Und bei Tor hat man sich eben dazu entschieden zwecks u.a. erhöhter Akzeptanz, die Sicherheit zugunsten der Bequemlichkeit nach hinten zu stellen. Das ist jetzt nichts wirklich neues und bereits seit einiger Zeit so. Das Gegenteil wär JonDoFox, dort Sicherheit vor bequem (= noscript ohne Einschränkung aktiv, Projekt stagniert allerdings seit einiger Zeit).
            Und genau das steht u.a. auch auf der Seite von privacy-handbuch.de, kann man also nachlesen.
            Gut erkennbar übrigens auch am eindeutigen Icon von noscript oben links, wenn torbrowser (6.07 übrigens!) gestartet ist. Das blockende noscript-Icon sieht vollkommen anders aus!
            Und z.B. whoer wirft dann (nackter tb, unkonfiguriert) folgendes aus:
            http://s1.bild.me/bilder/240416/3074204torbraus607-Js.jpg

          • quill sagt:

            Hoppla Herr Born, dass Torbrowser Javascript und Cookies erstmal zulässt, Gründe s.o., ist jetzt keine Neuigkeit, das ist seit vielen Versionen schon so, sollte man mitbekommen haben!?

            zwootens: ruft man diesen blog mit Torbrowser auf, kommt folgendes:
            http://666kb.com/i/delpg7q9841fqkl2b.jpg
            ?!?

  4. @chapeau: Ok, stimmt – habe jetzt in about:config nachgesehen, Javascript ist aktiv – aber wenn noscript läuft, wird JavaScript rausgefiltert – mir wird zumindest unter https://www.whatismybrowser.com/detect/is-javascript-enabled ein Disabled angezeigt (aber hier steht die Sicherheitsstufe auch auf Hoch, was default nicht so zu sein scheint). Oder was habe ich jetzt übersehen?

    @Quill: Empfehle zu Canvas einfach meinen Kommentar vom August 2016

    Zum "sollte man mitbekommen haben" und Sicherheitshandbuch. Das SHB habe ich mir jetzt nicht mehr angetan – aber generell sind mir zu viele Artikel zu uralten Tor-Versionen im Netz, die sich über JavaScript auslassen. Die sind dann imho aber weitgehend unbrauchbar (ist mir in den letzten Wochen in anderem Zusammenhang bei Tor/Firefox und JavaScript aufgefallen). Es macht Sinn, JavaScript auf enabled zu setzen, sonst wird nämlich noscript wirkungslos – oder ich müsste was falsch verstanden haben.

  5. blähton sagt:

    nope!
    Das privacy-Handbuch ist eig. ziemlich aktuell, sollte man kennen, wird unter anderem von einem der früheren Verantwortlichen von JonDo mitverfasst, der Mann kennt sich sehr gut aus. Nichts neues. Das als veraltet abzutun ist etwas albern, sorry.

    Was Noscript angeht: es sei hier nochmal gesagt, steht da ja auch bereits mehrfach, ob Js im Firefox via about:config auf on oder off gestellt ist, ist erstmal unerheblich. Im JonDoFox, dem zusammen mit dem JonDo-proxy ehemals "sichersten" Browsersystem ist es unverändert (js enabled=true)! Damit noscript korrekt filtern kann, logo.
    Es geht um die Einstellungen von noscript! Und die sind im torbrowser von default (= Js wird gefiltert/geblockt) auf erstmal kaum mehr Filterung gesetzt worden, erkennbar am eindeutigen Noscript-Icon im Torbrowser (s.u.), wg. dann besserer Benutzbarkeit, auf Kosten der Sicherheit. Zusammen größere Akzeptanz des Torbrowsers. Darum gehts im erster Linie.

    Vergleich der noscript-Icons, links Torbrowser (Js per default weniger-kaum gefiltert), rechts JdFox (Js per default gefiltert):
    http://s1.bild.me/bilder/240416/9713079noscript_torb-Jdf.jpg

    könnte es sein, dass dies a weng 'neuland' für den blogisten ist?
    ;)

  6. numilskj sagt:

    tja, da ist man tatsache doch etwas erstaunt. War auch davon ausgegangen, dies, also Torbrowser seit Monaten oder Jahren auf Benutzbarkeit und deswegem Js on sei bekannt… :(

Schreibe einen Kommentar zu Peter Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.