Kritische Sicherheitslücke: Tor Browser dringend auf Version 8.0 updaten!

Artikel von · 11. September 2018 ·

Wer den Tor Browser nutzt und dies möglichst sicher tun will, muss diesen unverzüglich updaten! Zerodium hat vor 21 Stunden bei Twitter eine kritische Sicherheitslücke des Plug-ins NoScript veröffentlicht. Beim Tor Browser Version 7.x ist es laut Zerodium möglich, unter bestimmten Bedingungen die Identität der Nutzer aufzudecken.

Das Startup Zerodium ist ein international tätiger An- und Verkäufer von kritischen Sicherheitslücken. Dieser Bug-Händler wurde nach eigenen Angaben von Cybersecurity-Veteranen gegründet und verfügt über eine „beispiellose Erfahrung“ in diesem Bereich. Zumindest kann man CEO Chaouki Bekrar kein mangelndes Selbstvertrauen vorwerfen.

Die Browser-Erweiterung NoScript, die von Giorgio Maone für den Firefox entwickelt wird, implementieren die Entwickler bei jeder neuen Version automatisch in ihren Tor Browser. NoScript soll dafür sorgen, dass kein Java, Flash, JavaScript etc. aktiviert ist und somit kein potentiell gefährlicher Schadcode auf den Besucher-PCs eingeschleust werden kann. Und genau an dem Punkt hakt es bei den älteren Versionen. Wegen eines Bugs kann trotz NoScript eben doch JavaScript ausgeführt werden, womit man unter bestimmten Umständen die Identität der Besucher aufdecken kann.

Zerodium LogoIn Version 8.0 des Tor Browsers wurde NoScript für den Firefox Quantum implementiert, der diese Lücke nicht mehr aufweist. Maone hat diese Sicherheitslücke zwischenzeitlich von allen Versionen seiner Browser-Erweiterung entfernt. Interessenten können NoScript kostenlos von hier herunterladen.

Nutzer des (ebenfalls kostenlosen) Tor Browsers sollen diesen sofort updaten, damit sie wieder sicherer sind. Wir erinnern uns: In der Informationstechnik (IT) gibt es generell keine absolute Sicherheit! Man kann sich stets nur relativ sicher fühlen. Besucher von Online-Shops im Darknet wollen aber gerade diese relative Sicherheit haben, um ihre Spuren zu verwischen.

P.S.: Wer sich für weitere Hintergründe interessiert, unser Interview mit Giorgio Maone (NoScript) kann man hier nachlesen. Maone war es auch, der seinerzeit sagte, das Rennen zwischen den Browser-Herstellern und Hackern würde wohl nie vorüber sein. Zumindest in dem Punkt darf man absolut sicher sein.

Tor Browser about 8.0

"Kritische Sicherheitslücke: Tor Browser dringend auf Version 8.0 updaten!", 5 out of 5 based on 1 ratings.

Mehr zu diesem Thema:

9 Kommentare

  • comment-avatar

    Anonymous

    Scheiß Quantum!

  • comment-avatar

    drabanden

    man kann auch den NoScript classic auf die v5.1.8.7 anheben. Die gibts aktuell neu. Dann ist die Lücke geschlossen und man kann mit TB 7x weitermachen. Der letzte der noch nicht Quantum-esr-ist!
    vorher in about:config via ‚xpinstall.signatures.required‘ false die Installweigerung/-warnung deaktivieren.

  • comment-avatar

    drabanden

    man kann auch den NoScript classic auf die v5.1.8.7 anheben. Die gibts aktuell neu. Dann ist die Lücke geschlossen und man kann mit TB 7x weitermachen. Der letzte der noch nicht auf Quantum-esr-ist!
    vorher in about:config via ‚xpinstall.signatures.required‘ false die Installweigerung/-warnung deaktivieren.

  • comment-avatar

    Roy Bär

    NoScript auf 5.1.8.7 updaten langt nicht?

  • comment-avatar

    ResolverTrommel

    …naja, ob die Zerodierten damit was wichtiges bzw. etwas neues, unbekanntes gesagt hatten, halte ich für ein Gerücht !!
    Das Release des „Quantum TOR-Browsers“ war vor vier Wochen…dabei hatten die Projektentwickler damals schon genau
    diese Lücken als Begründung für die Quantum-Version rausgelassen ^^
    Hinzu kommt, dass über die Laufzeit der ganzen 7er-Version immer wieder NoScript „BUGs“ und „VULs“ aufgetaucht sind und dies schon vor Monaten zum Anlass genommen wurde, die Entwicklung von 8 voranzutreiben !
    Ich meine sogar, gehört zu haben, dass man am Anfang des Jahres deswegen schon überlegt hätte, NoScript event. komplett auszutauschen ?!?
    …Ich habe den 8.x.x seit Release-Start im Einsatz (stable) ! Davon mal ab, dass die 8.0.0 bislang keinen Anlass gab, darüber zu mäggärn – läuft NoScript auch um ein vielfaches besser / geschmeidiger ! Es wurden anscheinend bisher noch keine wirklichen VULs gefunden…?
    Viel Spass damit ;))

  • comment-avatar

    Clemens

    Toller Artikel!

  • comment-avatar

    Cartol

    Danke, Lars!


Schreib einen Kommentar