Het Tor Project heeft een ernstig beveiligingslek in Tor Browser gedicht waardoor gebruikers van de browser met malware konden worden geïnfecteerd, ongeacht welk platform ze gebruikten. De kwetsbaarheid bevindt zich in het updaten van browser-extensies en werd eerder deze week onthuld.
Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller die voor addons.mozilla.org een geldig ssl-certificaat weet te verkrijgen kan vervolgens een kwaadaardige extensie-update aanbieden en zo willekeurige code op het systeem van Tor Browser-gebruikers uitvoeren.
De kern van het probleem is volgens onderzoekers dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet goed hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Deze controle is in het geval van Firefox en Tor Browser te omzeilen. Het vereist nog steeds dat de aanvaller over een geldig ssl-certificaat voor addons.mozilla.org moet beschikken, maar volgens het Tor Project is dit haalbaar voor landen en inlichtingendiensten. Partijen die vaak interesse in Tor-gebruikers hebben.
Gebruikers krijgen dan ook het dringende advies om zo snel als mogelijk naar Tor Browser 6.0.5 te updaten, die op Firefox 45.4.0esr is gebaseerd. In deze versie is het probleem gepatcht. Mozilla heeft de kwetsbaarheid in de verschillende Firefox-versies verholpen, maar deze versies zijn op het moment van schrijven nog niet uitgekomen. Verder bevat Tor 6.0.5 nieuwe versies van de Tor-software en HTTPS-Everywhere. Updaten kan via de browser of TorProject.org.
Deze posting is gelocked. Reageren is niet meer mogelijk.