Security Kurzmeldung: Tor Browser und Firefox im Fokus

Die klaffende Lücke ist zwar bekannt, aber auf Grund von Speicherpartitionierung in Chrome und Edge, dort nur sehr schwer ausnutzbar. Firefox hingegen verzichtete bisher auf diesen Sicherheitsmechanismus. Und so begab es sich, dass Angreifer genau diese Stelle im SVG Parser aussuchten und gekonnt ausnutzten. Der Exploit an sich ist seit 2013 bekannt und besteht aus einer HTML und CSS Datei. Dadurch gelingt es Firefox bzw. den Tor Browser zu kontaminieren. Wie genau das geht zeigen die Kollegen von MWR Labs Pwn2Own:

pwn2own_screenshot

Link zum Artikel: https://labs.mwrinfosecurity.com/blog/mwr-labs-pwn2own-2013-write-up-webkit-exploit/

Interessant an dieser Geschichte ist, dass der Exploit sich gegen Tor User richtet. Dies könnte natürlich die Folge haben, dass User dadurch de-anonymisiert werden, wie bereits 2013 durch das FBI, als der Fokus auf dem Entlarven von Kinderpornokonsumenten und -produzenten lag. Dan Guido, CEO von Trail of Bits hat dazu auch interessante Tweets:


Wie lässt sich das Problem also umgehen? Momentan müssen wir uns alle gedulden, solange wir keinen Patch seitens Mozilla erhalten. Erst dann wird Mozilla zwar gepatcht, aber der Tor Browser wird noch einige Zeit benötigen, bis dieser auch in den Genuss eines Updates gelangt. Was aber definitiv machbar sein sollte, ist die Deaktivierung von JavaScript. Der Tor Browser hat hier zu das Plugin NoScript an Bord. Damit lässt sich jede JavaScript Ausführung verhindern, und manuell schalten. Das heißt: Jede JavaScript Datei, muss per Hand erlaubt werden (wenn man denn so will!).

Tor Browser Video Tutorial –  Teil 1 – Installation

Tor Browser Video Tutorial – Teil 2 – Orientierung

NoScript Video Tutorial

Fazit

Vorsicht ist bei Anonymisierungsdiensten immer geboten, denn die Gefahr erwischt zu werden, lauert überall. Seien es Tor Netze, bei denen wir einem Ausgangsknoten vertrauen müssen, oder ein kostenpflichtiger VPN Dienst, dem wir letztlich auch trauen müssen, ganz so anonym können wir uns in den weltweiten Netzen nicht bewegen. Aber wer kann schon sagen, was nach TOR kommt? Wenn du Ideen hast, dann freue mich auf ein paar Kommentare unter dem Artikel.

Artikel teilen:

Kommentar verfassen