image

JavaScript-blokkade beschermt Tor Browser tegen Firefox-lek

donderdag 20 juni 2019, 10:22 door Redactie, 5 reacties
Laatst bijgewerkt: 20-06-2019, 15:15

Gebruikers van Tor Browser die JavaScript blokkeren waren niet kwetsbaar voor het zerodaylek in Firefox, zo heeft het Tor Project laten weten. Vanwege de kwetsbaarheid, waardoor een aanvaller in het ergste geval systemen kon overnemen, kwam Firefox afgelopen dinsdag met een noodpatch.

Volgens de browserontwikkelaar werd het beveiligingslek actief gebruikt om Firefox-gebruikers aan te vallen voordat de update beschikbaar was. Tor Browser is op Firefox gebaseerd en bevat daardoor ook het betreffende lek. De browser biedt echter verschillende beveiligingsniveaus waarmee gebruikers de bescherming kunnen opschroeven. Volgens het Tor Project waren gebruikers die het beveiligingsniveau "safer" en "safest" hadden staan niet kwetsbaar.

Om de kwetsbaarheid uit te buiten moet een aanvaller namelijk JavaScript kunnen uitvoeren en dat wordt op deze twee niveaus respectievelijk deels en volledig geblokkeerd. In het geval van "safer" wordt het uitvoeren van JavaScript op http-sites geblokkeerd, terwijl het safest-niveau alle JavaScript tegenhoudt.

Het Tor Project heeft nu een nieuwe versie (8.5.2) van de browser uitgebracht die de kwetsbaarheid verhelpt. Voor gebruikers van Tor Browser voor Android is er nog geen nieuwe versie. Het ontwikkelteam is onderweg naar een evenement en heeft daardoor geen toegang tot de token waarmee de Androidversie wordt gesigneerd. In afwachting van de update krijgen Androidgebruikers dan ook het advies om het beveiligingsniveau op "safer" of "safest" te zetten.

Reacties (5)
20-06-2019, 10:28 door Anoniem
Opera had het juiste idee: Je kan per site makkelijk(!) javascript aan- en uitzetten. Dan is "standaard uit, tenzij" ineens veel beter doenbaar. firefox had dit al jaren geleden kunnen oppakken (ze hebben bijvoorbeeld wel een "blokkeer plaatjes van deze site"), maar ze verdommen het. Dus moeten derde partijen het er maar infrommelen.
20-06-2019, 15:01 door Anoniem
Door Anoniem: Opera had het juiste idee: Je kan per site makkelijk(!) javascript aan- en uitzetten. Dan is "standaard uit, tenzij" ineens veel beter doenbaar. firefox had dit al jaren geleden kunnen oppakken (ze hebben bijvoorbeeld wel een "blokkeer plaatjes van deze site"), maar ze verdommen het. Dus moeten derde partijen het er maar infrommelen.
Firefox ? ---> NoScript !
https://support.mozilla.org/en-US/questions/954712

door Redactie: De browser biedt echter een beveiligingsslider waarmee gebruikers de bescherming kunnen opschroeven.
Dat staat niet in de meegegeven link!
Het zijn nu klik-opties die gebruik maken van zgn. radiobuttons die je aan moet klikken om over te schakelen.
Beveiligingsslider is verleden tijd.

door Redactie: Om de kwetsbaarheid uit te buiten moet een aanvaller namelijk JavaScript kunnen uitvoeren en dat wordt op deze twee niveaus respectievelijk deels en volledig geblokkeerd. In het geval van "safer" wordt het uitvoeren van JavaScript op http-sites geblokkeerd, terwijl het safest-niveau alle JavaScript tegenhoudt.
Als de aanval via een https-site gebeurt, heb je volgens mij niets aan de optie "safer".
(er is zelfs een indicatie dat ik misschien in die stand ben aangevallen: het beeld ging 5 a 10 seconden op zwart,
en kwam daarna weer op)

Wat nog wel kan, is dat de instellingen van browserextensie NoScript je eventueel zouden kunnen beschermen
in geval Noscript zo is ingesteld dat geen javascript wordt uitgevoerd.
20-06-2019, 16:20 door Anoniem
Met JavaScript blokkeren in het algemeen bij Tor via NoScript en in andere browsers ook goed te doen via uMatrix,
altijd steeds juist zoveel toelaten als voor minimaal goed functioneren van de website in kwestie nodig is. Dat toggelen bij uMatrix bijvoorbeeld is niet zo'n helse klus, zeker voor power users en de website savvy folks.

Bij twijfel steeds blokkeren. Script blockers blokkeren namelijk altijd tegen alle mogelijke scriptbedreigingen: die van vroeger, die van heden en zelfs die in de mogelijke toekomst.

Komt u voor het eerst op een site dan zijn er tal van manieren om uit te vinden of er IDS alerts bestaan voor een bepaalde site.
Het domein kan een `weggever` zijn, zoals www dot bladibla dot su, of een PHISHING alert. Sommige zaken worden gemist door veel scanners, zoals Admob adware via amazon en gaat dan onder de radar. Er is nogal wat verschil in detectie patronen en listings tussen bijvoorbeeld Bitdefender -, DrWeb en bijvoorbeeld avast extensies in de browser. VTchromiser is ook altijd handig en voor developersde retire.js en Web Developer extensie.

luntrus
20-06-2019, 22:29 door Anoniem
Het Tor Project heeft nu een nieuwe versie (8.5.2) van de browser uitgebracht die de kwetsbaarheid verhelpt.
Er is sprake van 2 zero-day lekken en slechts één ervan is opgelost in Tor 8.5.2 (de andere zit er nog steeds in).

De bug waarmee men uit de sandbox kon breken is vandaag gefixt in Firefox 67.0.4 en 60.7.2 ESR.
https://www.zdnet.com/article/mozilla-fixes-second-firefox-zero-day-exploited-in-the-wild/

In de komende dagen is dus nogmaals een nieuwe versie van TorBrowser te verwachten ( 8.5.3(?) ) waarin ook
de zeroday m.b.t de escape uit de sandbox is gefixt.
21-06-2019, 00:19 door Anoniem
Door Anoniem: Met JavaScript blokkeren in het algemeen bij Tor via NoScript en in andere browsers ook goed te doen via uMatrix
Heb onlangs ontdekt dat je NoScript kunt verwijderen in Tor (dacht dat dat niet kon) en daarvoor uMatrix installeren. Heb daarvoor 'n tweede keer Tor geïnstalleerd (wat dus blijkbaar tegenwoordig ook prima gaat, ze nemen geen data van elkaar over) om het te testen en werkt erg fijn. Vind uMatrix persoonlijk makkelijker in gebruik dan NoScript.
Standaard blokker ik globaal (optie *) zoveel mogelijk (bovenste regel 'alle'), per site geef ik dan éénmalig aan wat toestemming mag hebben en sla dit eventueel op. Mijn inziens beste manier voor de maximale beveiliging en de minste handelingen.

Raad iedereen uMatrix aan, met een beetje geduld kan echt iedereen mee overweg. Als je daarbij Bluhell firewall (onlangs gelukkig weer geüpdatet, kun je alleen aan en uit zetten) gebruikt is internetten veilig(er), inclusief jouw privacy, leuker/sneller zonder dat je browser ook maar enigszins traag wordt.
En een extra pluspunt van Bluhell is dat hij standaard de site van het AD volledig blokt :-). Draait blijkbaar zoveel persgroep-troep mee dat dat als (terecht) onveilig gezien wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.