Tor Project

    • Open Source

    • Danilo-San
    • 8389 Aufrufe 29 Antworten

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Sicherheitsupdate: Tor Browser vor möglichen Schacode-Attacken geschützt

      Wer weiterhin anonym und sicher mit dem Tor Browser im Internet surfen möchte, sollte die aktuelle Version installieren.

      Die Entwickler des anonymisierenden Tor Browser haben mehrere Sicherheitslücken geschlossen. Der von den Schwachstellen ausgehende Bedrohungsgrad gilt insgesamt als "hoch".

      Sind Attacken erfolgreich, könnten Angreifer den Webbrowser unter anderem zum Absturz (DoS-Attacke) bringen. Mit viel Aufwand soll sogar die Ausführung von Schadcode vorstellbar sein. Wie Attacken aussehen könnten, ist derzeit nicht bekannt. Aus einer Meldung der Entwickler geht hervor, dass die Tor-Browser-Version 10.0.9 dagegen abgesichert ist.

      Für Android, Windows & Co. verfügbar
      Diese setzt als Unterbau auf Firefox ESR 78.7.0. Darin hat Mozilla fünf Schwachstellen geschlossen. Die aktuelle Ausgabe von Tor Browser ist für Android, Linux, macOS und Windows erschienen.

      Neben dem Schließen von Sicherheitslücken haben die Entwickler noch kleine Bugs beseitigt und die Erweiterung zum Blockieren von aktiven Inhalten NoScript auf Version 11.1.9 angehoben.

      Quelle: Sicherheitsupdate: Tor Browser vor möglichen Schacode-Attacken geschützt | heise online
    • New Release: Tor Browser 10.0.10

      Tor Browser 10.0.10 is now available from the Tor Browser download page and also from our distribution directory.

      This version increases the availability of version 3 (v3) onion services. The fix is included in the recently released stable tor versions, as well.

      The full changelog since Desktop and Android Tor Browser 10.0.9 is:
      • All Platforms
      • Update NoScript to 11.2
      • Update HTTPS Everywhere to 2021.1.27
      • Bug 40224: Backport Tor patch for v3 onion services
      • Android
      • Pick up fix for Mozilla's bug 1688783
      • Pick up fix for Mozilla's bug 1688017
      Quelle: New Release: Tor Browser 10.0.10 | Tor Blog
    • Firefox und Tor Browser: Update schließt kritische Lücke und blockiert NTFS-Bug

      Versionsupdates für Firefox, Firefox ESR und Tor Browser beseitigen eine Windows-spezifische Sicherheitslücke und bringen zudem einige Bugfixes mit.

      Mozilla hat den Web-Browser Firefox auf 85.0.1 und das Extended Support Release (ESR) auf allen Plattformen auf 78.7.1 aktualisiert und damit eine kritische Sicherheitslücke beseitigt.

      Der Firefox-basierte anonymisierende Tor-Browser liegt ebenfalls in einer neuen Version, nämlich 10.0.11, vor. Dabei handelt es sich allerdings um ein "Windows-only"-Release. Der Grund hierfür dürfte sein, dass die aus Firefox beseitigte Sicherheitslücke nur auf Windows-Systemen ausnutzbar ist und Tor Browser 10.0.11 laut Eintrag im Tor-Blog auch keine zusätzlichen (Tor-spezifischen) Bugfixes umfasst.

      Laut Mozillas Advisory zu Firefox und Firefox ESR ermöglichte die mit den neuen Versionen geschlossene kritische Sicherheitslücke in der ANGLE-Grafikbibliothek auf Windows-Systemen das Auslösen eines Pufferüberlaufs. Auf Details zu Ausnutzbarkeit und Konsequenzen verzichtet Mozilla im Advisory, die Bug-Beschreibung ist nicht öffentlich zugänglich – vermutlich, um das Risiko aktiver Angriffe auf noch ungeschützte Systeme zu minimieren.
      NTFS-Bug im Browser nicht mehr triggerbar

      Neben Stabilitäts- und funktionalen Fixes nennen die Release Notes zu Firefox 85.0.1 noch ein weiteres interessantes Detail: In der neuen Firefox- einschließlich der ESR-Ausgabe ist es nicht mehr möglich, über eine Eingabe in die Adresszeile einen gefährlichen NTFS-Bug in Windows 10 auszulösen. "Prevent access to NTFS special paths that could lead to filesystem corruption", lautet Mozillas Beschreibung der Schutzmaßnahme. Selbiges sollte für den Tor Browser dann wohl auch gelten; allerdings haben wir es in einem kurzen Test nur mit Firefox (und ESR) validiert.

      heise online berichtete bereits Mitte Januar über den Bug, der von Microsoft bislang noch immer nicht gefixt wurde: Bereits seit Windows 10 1803 kann der Aufruf eines bestimmten Dateipfads Schäden am Dateisystem verursachen. Der Aufruf war bislang auch im Browser möglich – zumindest in Firefox wurde dies durch das Update aber unterbunden.

      Quelle: Firefox und Tor Browser: Update schließt kritische Lücke und blockiert NTFS-Bug | heise online
    • Neue Version: Tor Browser 10.0.12 (übersetzt)

      Der Tor-Browser 10.0.12 ist jetzt auf der Tor-Browser-Downloadseite und auch in unserem Distributionsverzeichnis verfügbar.

      Diese Version aktualisiert Desktop Firefox auf 78.8.0esr und Android Firefox auf 86.1.0. Außerdem aktualisiert Tor Browser 10.0.12 NoScript auf 11.2.2, Openssl auf 1.1.1j und Tor auf 0.4.5.6. Diese Version enthält wichtige Sicherheitsupdates für Firefox für Desktop und ähnlich wichtige Sicherheitsupdates für Firefox für Android.

      Der vollständige Changelog seit Desktop und Android Tor Browser 10.0.11 ist:
      • Alle Plattformen
      • Aktualisierung von NoScript auf 11.2.2
      • Openssl auf 1.1.1j aktualisieren
      • Tor auf 0.4.5.6 aktualisieren
      • Windows + OS X + Linux
      • Firefox auf 78.8.0esr aktualisieren
      • Bug 40026: Umfrage-Banner auf about:tor für Desktop erstellen
      • Fehler 40287: DDG-Suche von POST auf GET umstellen
      • Android
      • Firefox auf 86.1.0 aktualisieren
      • Bug 40138: Umfrage-Banner auf about:tor für Android erstellen
      • Bug 40144: Download-Manager ausblenden
      • Fehler 40171: WebRequest und GeckoWebExecutor First-Party-fähig machen
      • Fehler 40188: Snowflake nur bauen und ausliefern, wenn es aktiviert ist
      • Bug 40309: Vermeiden Sie die Verwendung von regionalen OS-Locales
      • Fehler 40344: Setzen Sie privacy.window.name.update.enabled=false
      • Build System
      • Android
      • Fehler 40214: AMO-Sammel-URL aktualisieren
      • Fehler 40217: Komponenten für den Wechsel zu mozilla86-basiertem Fenix aktualisieren
      Quelle: New Release: Tor Browser 10.0.12 | Tor Blog
    • Abgesicherter Tor Browser steht zum Download bereit

      Die Entwickler haben im anonymisierenden Tor Browser mehrere Sicherheitslücken geschlossen.

      Wer im Internet Wert auf Privatsphäre legt, kommt am Tor Browser nicht vorbei. Nun ist eine abgesicherte Version verfügbar.

      Die aktuelle Tor-Browser-Version 10.0.14 setzt als Unterbau auf Firefox ESR 78.9.0 ESR. In dieser Ausgabe haben die Entwickler von Mozilla mehrere Sicherheitslücken geschlossen. Das Sicherheitsrisiko gilt als "hoch".

      Nutzen Angreifer die Schwachstellen erfolgreich aus, könnten sie beispielsweise auf eigentlich abgeschottete Daten zugreifen, die Anwendung abstürzen lassen oder sogar Schadcode ausführen. Wie Attacken im Detail aussehen könnten, ist derzeit nicht bekannt.

      Wie aus der Warnmeldung des Tor-Teams hervorgeht, haben sie noch die aktuellen Versionen NoScript 11.2.3 und Tor 4.5.7 implementiert.

      Quelle: Abgesicherter Tor Browser steht zum Download bereit | heise online