Kritische Sicherheitslücke: Tor Browser dringend auf Version 8.0 updaten!

Wer den Tor Browser nutzt und dies möglichst sicher tun will, muss diesen unverzüglich updaten! Zerodium hat vor 21 Stunden bei Twitter eine kritische Sicherheitslücke des Plug-ins NoScript veröffentlicht. Beim Tor Browser Version 7.x ist es laut Zerodium möglich, unter bestimmten Bedingungen die Identität der Nutzer aufzudecken.

Das Startup Zerodium ist ein international tätiger An- und Verkäufer von kritischen Sicherheitslücken. Dieser Bug-Händler wurde nach eigenen Angaben von Cybersecurity-Veteranen gegründet und verfügt über eine “beispiellose Erfahrung” in diesem Bereich. Zumindest kann man CEO Chaouki Bekrar kein mangelndes Selbstvertrauen vorwerfen.

Die Browser-Erweiterung NoScript, die von Giorgio Maone für den Firefox entwickelt wird, implementieren die Entwickler bei jeder neuen Version automatisch in ihren Tor Browser. NoScript soll dafür sorgen, dass kein Java, Flash, JavaScript etc. aktiviert ist und somit kein potentiell gefährlicher Schadcode auf den Besucher-PCs eingeschleust werden kann. Und genau an dem Punkt hakt es bei den älteren Versionen. Wegen eines Bugs kann trotz NoScript eben doch JavaScript ausgeführt werden, womit man unter bestimmten Umständen die Identität der Besucher aufdecken kann.

Zerodium LogoIn Version 8.0 des Tor Browsers wurde NoScript für den Firefox Quantum implementiert, der diese Lücke nicht mehr aufweist. Maone hat diese Sicherheitslücke zwischenzeitlich von allen Versionen seiner Browser-Erweiterung entfernt. Interessenten können NoScript kostenlos von hier herunterladen.

Nutzer des (ebenfalls kostenlosen) Tor Browsers sollen diesen sofort updaten, damit sie wieder sicherer sind. Wir erinnern uns: In der Informationstechnik (IT) gibt es generell keine absolute Sicherheit! Man kann sich stets nur relativ sicher fühlen. Besucher von Online-Shops im Darknet wollen aber gerade diese relative Sicherheit haben, um ihre Spuren zu verwischen.

P.S.: Wer sich für weitere Hintergründe interessiert, unser Interview mit Giorgio Maone (NoScript) kann man hier nachlesen. Maone war es auch, der seinerzeit sagte, das Rennen zwischen den Browser-Herstellern und Hackern würde wohl nie vorüber sein. Zumindest in dem Punkt darf man absolut sicher sein.

Tor Browser about 8.0

"Kritische Sicherheitslücke: Tor Browser dringend auf Version 8.0 updaten!", 5 out of 5 based on 1 ratings.

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.

Vielleicht gefällt dir auch

10 Kommentare

  1. Anonymous sagt:

    Scheiß Quantum!

  2. drabanden sagt:

    man kann auch den NoScript classic auf die v5.1.8.7 anheben. Die gibts aktuell neu. Dann ist die Lücke geschlossen und man kann mit TB 7x weitermachen. Der letzte der noch nicht Quantum-esr-ist!
    vorher in about:config via ‘xpinstall.signatures.required’ false die Installweigerung/-warnung deaktivieren.

  3. drabanden sagt:

    man kann auch den NoScript classic auf die v5.1.8.7 anheben. Die gibts aktuell neu. Dann ist die Lücke geschlossen und man kann mit TB 7x weitermachen. Der letzte der noch nicht auf Quantum-esr-ist!
    vorher in about:config via ‘xpinstall.signatures.required’ false die Installweigerung/-warnung deaktivieren.

  4. Roy Bär sagt:

    NoScript auf 5.1.8.7 updaten langt nicht?

  5. ResolverTrommel sagt:

    …naja, ob die Zerodierten damit was wichtiges bzw. etwas neues, unbekanntes gesagt hatten, halte ich für ein Gerücht !!
    Das Release des “Quantum TOR-Browsers” war vor vier Wochen…dabei hatten die Projektentwickler damals schon genau
    diese Lücken als Begründung für die Quantum-Version rausgelassen ^^
    Hinzu kommt, dass über die Laufzeit der ganzen 7er-Version immer wieder NoScript “BUGs” und “VULs” aufgetaucht sind und dies schon vor Monaten zum Anlass genommen wurde, die Entwicklung von 8 voranzutreiben !
    Ich meine sogar, gehört zu haben, dass man am Anfang des Jahres deswegen schon überlegt hätte, NoScript event. komplett auszutauschen ?!?
    …Ich habe den 8.x.x seit Release-Start im Einsatz (stable) ! Davon mal ab, dass die 8.0.0 bislang keinen Anlass gab, darüber zu mäggärn – läuft NoScript auch um ein vielfaches besser / geschmeidiger ! Es wurden anscheinend bisher noch keine wirklichen VULs gefunden…?
    Viel Spass damit ;))

  6. Clemens sagt:

    Toller Artikel!

  7. Cartol sagt:

    Danke, Lars!

  8. Tor Bug sagt:

    Mehr Infos:

    https://twitter.com/x0rz/status/1039154133310361600

    https://gist.github.com/x0rz/8198e8e22b1f70fddb9c815c1232b795

  1. 22. Oktober 2018

    […] auch bei Euch bestehen. Wie denkst Du über derartige Anbieter, die Netzwerke wie I2P, Freenet oder Tor für ihre Zwecke […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.