Tails OS-lek maakt malafide upgrade en de-anonimiseren gebruiker mogelijk
Kwetsbaarheden in het op privacy gerichte besturingssysteem Tails OS maken het mogelijk voor aanvallers om een malafide upgrade uit te voeren en de installatie zo permanent te compromitteren en de gebruiker te de-anonimiseren. Er is een nieuwe versie uitgebracht waarin de problemen zijn verholpen. Gebruikers die extra voorzichtig zijn worden aangeraden een handmatige upgrade uit te voeren in plaats van een automatische upgrade.
Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Tails kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties.
Tijdens een externe security-audit zijn meerdere kwetsbaarheden in het besturingssysteem aangetroffen. In Tails 6.10 en eerder kan een aanvaller die een met Tails meegeleverde applicatie weet te compromitteren een beveiligingslek in de Tails Upgrader misbruiken om een malafide upgrade te installeren en zo permanente controle over de Tails-installatie te krijgen.
In de bovenstaande situatie kan een aanvaller die een met Tails meegeleverde applicatie heeft gecompromitteerd ook kwetsbaarheden in andere applicaties misbruiken om gebruikers te de-anonimiseren en hun browsegedrag te monitoren. Daarnaast zou een aanvaller de instellingen van de Persistent Storage kunnen aanpassen. Gebruikers die extra voorzichtig zijn worden aangeraden om een handmatige upgrade naar Tails 6.11 uit te voeren. Bij een handmatige upgrade wordt namelijk eventueel aanwezige malware geïnstalleerd door een aanvaller verwijderd.
Wel goed dat ze regelmatig externe audits laten uitvoeren zodat het snel gefixt kan worden.
We're an idealistic bunch of security researchers, networking/forensics geeks, and Capture The Flag winners that are passionate about making the world more secure. We believe in transparency and openness, and our goal is to secure the society that allows us to run a company in the first place.
terwijl de officiële website er nog met geen woord over repte en nog altijd v.6.10 aangaf.
Je zou haast denken dat de Tails ontwikkelaars in Duitsland zitten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?