image

Zero day-lek in Firefox gebruikt voor aanval op Tor Browser

woensdag 30 november 2016, 11:03 door Redactie, 11 reacties

Een zero day-lek in Firefox wordt op dit moment actief gebruikt om gebruikers van Tor Browser aan te vallen. Mozilla werkt inmiddels aan een beveiligingsupdate voor het probleem. Tor Browser laat gebruikers verbinding met het Tor-netwerk maken. Het bestaat uit een aangepaste Firefox-versie en de software die de verbinding met het Tor-netwerk opzet. Via het Tor-netwerk kunnen internetgebruikers hun ip-adres en privacy beschermen.

Gisterenavond verscheen er op de Tor-mailinglist een bericht dat gebruikers van Tor Browser actief via een JavaScript-exploit worden aangevallen. Het doel van de exploit is onbekend, maar het weet in ieder geval toegang tot kernel32.dll te krijgen. Een onderzoeker laat aan Ars Technica weten dat via de aanval het ip-adres van gebruikers is te achterhalen. Roger Dingledine van het Tor Project, de organisatie achter het Tor-netwerk, laat weten dat Mozilla inmiddels aan een update voor Firefox werkt. Zodra de update gereed is zal er een nieuwe versie van Tor Browser verschijnen.

Reacties (11)
30-11-2016, 11:11 door Anoniem
Dus met JS disabled ben je safe of zie ik dat verkeerd?
30-11-2016, 11:23 door Anoniem
Aanvulling:
Mogelijk worden ook niet-Tor gebruikende Firefox gebruikers aangevallen, getuige de eerste alinea op Ars Technica:

There's a zero-day exploit in the wild that's being used to execute malicious code on the computers of people using Tor and possibly other users of the Firefox browser, officials of the anonymity service confirmed Tuesday.

Kortom, dit komt even via een andere browser :)
30-11-2016, 11:59 door Anoniem
Ok,maar dit lek geldt dus alleen in Windows dus omdat kernel32.dll er mee gemoeid gaat.
Het zal misschien in firefox 50.0.1 verholpen zijn of komt er nog een 50.0.2 versie uit waardat lek dan verholpen zou kunnen zijn.
30-11-2016, 13:59 door [Account Verwijderd] - Bijgewerkt: 30-11-2016, 14:00
[Verwijderd]
30-11-2016, 17:20 door Anoniem
Door Anoniem: Dus met JS disabled ben je safe of zie ik dat verkeerd?
Nee, dat zie je volgens mij goed.
Altijd al idioot gevonden dat er geen eenvoudige "javascript disable" knop meer aanwezig is in de instellingen van Firefox.
"Want het zou wel zot zijn als je een website ging bezoeken die je niet vertrouwd", en dus vertrouw je iedere website die je bezoekt automatisch javascript toe. Daar is nu dus praktisch elke website op gebouwd, zodat je al snel problemen gaat krijgen als javasript in je browser uit zou staan, ook al kan je javascript in Firefox via "about:config" nog wel uitzetten.
30-11-2016, 22:40 door Anoniem
Fixed

Firefox ESR
https://ftp.mozilla.org/pub/firefox/releases/45.5.1esr/

Torbrowser
https://dist.torproject.org/torbrowser/6.0.7/

Blog
https://blog.torproject.org/blog/tor-browser-607-released


The security flaw responsible for this urgent release is already actively exploited on Windows systems. Even though there is currently, to the best of our knowledge, no similar exploit for OS X or Linux users available the underlying bug affects those platforms as well. Thus we strongly recommend that all users apply the update to their Tor Browser immediately. A restart is required for it to take effect.

Tor Browser users who had set their security slider to "High" are believed to have been safe from this vulnerability.

Aangaande Javascript wel/niet toestaan

Het is iets omslachtiger maar sta voortaan alleen tijdelijk javascripts toe op een website waarvan de functionaliteit niet werkt en vermijd zoveel mogelijk javascripts toe te staan van andere domeinen dan het domein waarop je actief bent.
https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled

Why is NoScript configured to allow JavaScript by default in Tor Browser? Isn't that unsafe?

We configure NoScript to allow JavaScript by default in Tor Browser because many websites will not work with JavaScript disabled. Most users would give up on Tor entirely if a website they want to use requires JavaScript, because they would not know how to allow a website to use JavaScript (or that enabling JavaScript might make a website work).

There's a tradeoff here. On the one hand, we should leave JavaScript enabled by default so websites work the way users expect. On the other hand, we should disable JavaScript by default to better protect against browser vulnerabilities ( not just a theoretical concern!). But there's a third issue: websites can easily determine whether you have allowed JavaScript for them, and if you disable JavaScript by default but then allow a few websites to run scripts (the way most people use NoScript), then your choice of whitelisted websites acts as a sort of cookie that makes you recognizable (and distinguishable), thus harming your anonymity.

Ultimately, we want the default Tor bundles to use a combination of firewalls (like the iptables rules in Tails) and sandboxes to make JavaScript not so scary. In the shorter term, TBB 3.0 will hopefully allow users to choose their JavaScript settings more easily — but the partitioning concern will remain.

Until we get there, feel free to leave JavaScript on or off depending on your security, anonymity, and usability priorities.

Pak in je security slider of onder de handmatige opties een setting die veiliger is.
Onder handmatige opties is dat de optie 'globaal toestaan van javascripts uitzetten'.
Zet elders de optie aan om tijdelijk javascripts toe te staan.
Haal in je whitelist van sites waar je standaard javascripts toestond weer weg.

Installeer een firewall oplossing op je computer waarbij je de mogelijkheid hebt om bepaalde programmatoegang tot internet te whitelisten, houdt deze lijst zo klein mogelijk.
Dat levert een omgekeerde lijst op van programma's die geen toegang hebben tot internet.
Blokkeer alvast de standaard usual suspects, pdf en word programma's en als je eventueel ook mp4 video (geen flash en silvernogwat) kijkt dan ook je videoplayer.
Als je firewall de mogelijkheid geeft om eerst om toestemming te vragen bij een connectiepoging stel dat dan zo in.
Gooi zoveel mogelijk poorten standaard dicht.

Stel Torbrowser in als je standaard browser.

(gebruik een ander OS)

Daarnaast zijn er nog vele tips te bedenken, maar vooral, vooral, als je het een beetje 'normaal en christelijk' houdt omdat je het gebruikt waar het voor bedoeld is - namelijk gewoon als een privacy oplossing die je beschermt tegen meekijken van commerciële partijen en overheden daar waar je gewoon recht hebt op privacy - dan loop je vast niet snel tegen dit soort mis/gebruik van zero days aan.

Torbrowser is en blijft een prima privacy oplossing voor erbij.
30-11-2016, 22:57 door [Account Verwijderd]
[Verwijderd]
01-12-2016, 08:18 door FSF-Moses
Van de ESR versie is ook versie 45.5.1 verschenen:
https://ftp.mozilla.org/pub/firefox/releases/45.5.1esr/
01-12-2016, 08:24 door Anoniem
Kan iemand bevestigen dat de kwetsbaarheid in TOR-browser inderdaad gedicht is met de update van 30 november j.l.?
01-12-2016, 08:30 door [Account Verwijderd] - Bijgewerkt: 01-12-2016, 08:34
[Verwijderd]
03-12-2016, 01:52 door Anoniem
Er zit ook een bug in libxul op Linux / Iceweasel en Tor Browser Bundle. En die is al 2 jaar unpatched.. Ik weet dat omdat ik er zelf dankbaar gebruik van maak.

Grey hat. Screw that ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.