Achtung: Tor 7.x angreifbar

SicherheitVor einigen Tagen hatte ich im Beitrag Tor Browser 8.0 erschienen auf eine neue Version des Tor-Browsers hingewiesen. Wer noch ältere Tor 7.x-Versionen verwendet, sollte schleunigst umsteigen.


Anzeige

Zerodium, ein Anbieter, der Exploits für Software kauft und verkauft, hat auf Twitter angekündigt, dass Tor 7.x unsicher sei. Ein Fehler ermöglicht die Wahl der Sicherheitsstufe eines Benutzers zu umgehen.

Es sind wohl alle Browser von dem JavaScript-Exploits unter Tor 7.x betroffen. Lediglich die neue Tor 8.x-Version ist davon nicht betroffen. Der Entwickler das Add-on NoScript hat, nachdem ZDNet.com in diesem Artikel auf den Sachverhalt hinwies, ein Update (5.1.8.7,) entwickelt und freigegeben. neowin.net schreibt hier, dass Zerodium den Exploit vor Monaten an eine andere Firma verkauft habe, die diesen mit Regierungsorganisationen teilt. Es heißt also, auf Tor 8.x zu aktualisieren.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit, Tor verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Achtung: Tor 7.x angreifbar


  1. Anzeige
  2. Bolko sagt:

    Tor darf man auf Windows nicht einsetzen, weil die Win-Telemetrie den eigenen Standort verrät. Tor macht nur in Verbindung mit Linux Sinn.

  3. steinwasser sagt:

    Standort ist abstellbar.
    und Js muss nicht auf aktiviert bleiben, wie es TB per default wg bequem erstmal einstellt. Stattdessen aus + nur bei Bedarf. Und schon ist das vorige Torbrowserchen 7.5.6 nicht mehr so schlecht.
    Zumal die Umstellung auf den ersten ff-quantum-ESR schon etwas gewöhnungsbedürftig ist. Wichtige addons (zB. cookie controller) fallen ersatzlos raus. noscript hat in der Konfiguration nicht wirklich gewonnen, vorsichtig formuliert, etc.
    Nicht so schön…

  4. Anzeige

  5. Oscar sagt:

    … und Windows XP wird nicht mehr unterstützt …

  6. oswijn wolcenbruch sagt:

    mittlerweile wurd eine aktualisierte NoScript-Version (classic) rausgegeben, v5.1.8.7.
    Dafür muss in about:config ‘xpinstall.signatures.required’ auf false gesetzt werden. Trotzdem wird folgendes angezeigt:
    http://s1.bild.me/bilder/110417/4486430noscr_5187.jpg
    Die NoScript-Funktionen sind allerdings komplett vorhanden, nix mit deaktiviert. Bestätigen auch alle Testseiten (jondo, whoer, browserleaks.com …).
    hö?!?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.