Tor Browser in Version 7 durch NoScript angreifbar

[AudioholicA]

Ich zitiere Heise:

Das NoScript-Add-on im anonymisierenden Tor Browser ist mit vergleichsweise einfach Mitteln deaktivierbar. So könnte die Identität von Nutzern aufliegen.
Der eigentlich anonymisierende Tor Browser ist im Versionsstrang 7.x für Spionage-Attacken anfällig. Das soll selbst mit der höchsten Sicherheitseinstellung im Webbrowser der Fall sein. Davor warnt das auf Zero-Day-Exploits spezialisierte Unternehmen Zerodium auf Twitter.
Bedrohte Versionen
Die Schwachstelle findet sich in der Erweiterung NoScript, die standardmäßig beim Tor Browser dabei ist. Das Add-on blockiert auf Webseiten aktive Inhalte wie Adobe Flash oder JavaScript. Aufgrund der Anfälligkeit könnten Angreifer das Add-on abschalten. NoScript soll in den älteren Ausgaben 5.0.4 bis 5.1.8.6 für die Attacke anfällig sein.

Ein Update auf Version 8 ist empfehlenswert.

 

[Bob.Dig]

TOR-Sites waren also nie sicher, jetzt hat man den Beweis.

 

[AudioholicA]

Plugins / Addons bieten leider oft eine Angriffsfläche, an der eigentlichen Sicherheit des Browsers vorbei.
Nicht umsonst nutzen viele User den Tor Browser mit zb Tails in mindestens einer virtuellen Maschine.
Heute habe ich vom Projekt Whonix erstmals gelesen. Ein interessanter Ansatz, den ich weiter verfolgen werde.