Kritische Sicherheitslücke in Tor Browser 8.5.2 geschlossen
Angreifer könnten den anonymisierenden Tor Browser attackieren und unter Umständen Schadcode ausführen.
Um den Tor Browser vor Schadcode-Attacken zu schützen, haben die Entwickler die aktuelle abgesicherte Ausgabe 8.5.2 veröffentlicht. Darin haben sie eine Sicherheitslücke (CVE-2019-11707) geschlossen, über deren Ausnutzung Angreifer gegebenenfalls Schadcode auf Computern ausführen könnten.
Die Schwachstelle findet sich in der Basis des anonymisierenden Browsers Firefox ESR. Derzeit gibt es gezielte Attacken gegen verwundbare Firefox-Versionen [1]. Damit ein Übergriff klappt, muss ein Angreifer einem Opfer manipulierte JavaScript-Objekte unterschieben.
Standardmäßig verwundbar
Da der Tor Browser in den Standard-Sicherheitseinstellungen "Normal" kein JavaScript blockiert, ist er ab Werk angreifbar. Die Optionen "Safe" und "Safest" verbieten die Ausführung von JavaScript auf Websites.
In einem Beitrag zur aktuellen Version schreiben die Entwickler [2], dass sie weitere Bugs gefixt und NoScript in der Version 10.6.3 implementiert haben.
[UPDATE, 20.06.2019 14:40 Uhr]
Wann der Tor Browser verwundbar ist im Intro und Fließtext angepasst. (des [3])
URL dieses Artikels:
https://www.heise.de/-4451802
Links in diesem Artikel:
[1] https://www.heise.de/news/Jetzt-patchen-Attacken-gegen-Firefox-4450332.html
[2] https://blog.torproject.org/new-release-tor-browser-852
[3] mailto:des@heise.de
Copyright © 2019 Heise Medien