Warten auf abgesicherte Version: Anonymes Surfen unter Tails gefährdet

Zwei "kritische" JavaScript-Lücken gefährden Nutzer der anonymisierenden Linux-Distribution Tails, wenn sie zum Surfen den Tor Browser einsetzen. Sicherheitspatches sind zwar schon verfügbar, aber noch nicht implementiert.

Das Linux-Live-System Tails startet direkt von einem USB-Stick und ist rundum auf die Wahrung von Anonymität und Privatsphäre ausgelegt. So findet unter anderem der Aufruf von Websites verschlüsselt über das Tor-Netzwerk statt und das System vergisst Einstellungen nach einem Neustart. Der integrierte Tor Browser basiert auf Mozillas Firefox ESR, in dem die Entwickler jüngst zwei Sicherheitslücken (CVE-2022--1529, CVE-2022-1802) geschlossen haben.

Sicherheitspatch-Implementierung folgt

In einer Warnmeldung raten die Tails-Entwickler, den Tor Browser derzeit nicht für den Umgang mit sensiblen Daten wie Passwörtern zu nutzen. Zwar ist der Tor Browser schon in der Version 11.0.13 mit den aktuellen Sicherheitsupdates ausgestattet, das Tails-Team schafft es aber eigenen Angaben zufolge erst am 31. Mai 2022 die abgesicherte Ausgabe in Tails 5.1 zu integrieren. Als Grund für die Verschiebung geben sie mangelnde Kapazitäten im Team an.

Bis dahin sollte man nicht mit dem Webbrowser surfen. Etwa beim Besuch von einer von einem Angreifer kontrollierten Website könnte sich JavaScript-Schadcode im Browser verankern und Passwörter von im Anschluss besuchten Seiten mitschneiden.

Workaround: JavaScript deaktivieren

Wer den Tor Browser trotzdem nutzen will, sollte in den Einstellungen die höchste Sicherheitsstufe aktivieren, um JavaScript abzuschalten. Mozillas Mailclient Thunderbird soll in Tails von den Schwachstellen nicht betroffen sein, da JavaScript standardmäßig deaktiviert ist. Wer Websites nicht mit dem Tor Browser aufruft, kann den Entwicklern zufolge Tails ganz normal nutzen.

(des)