Ernstig beveiligingslek in Tor Browser gedicht
Het Tor Project heeft een ernstig beveiligingslek in Tor Browser gedicht waardoor gebruikers van de browser met malware konden worden geïnfecteerd, ongeacht welk platform ze gebruikten. De kwetsbaarheid bevindt zich in het updaten van browser-extensies en werd eerder deze week onthuld.
Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller die voor addons.mozilla.org een geldig ssl-certificaat weet te verkrijgen kan vervolgens een kwaadaardige extensie-update aanbieden en zo willekeurige code op het systeem van Tor Browser-gebruikers uitvoeren.
De kern van het probleem is volgens onderzoekers dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet goed hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Deze controle is in het geval van Firefox en Tor Browser te omzeilen. Het vereist nog steeds dat de aanvaller over een geldig ssl-certificaat voor addons.mozilla.org moet beschikken, maar volgens het Tor Project is dit haalbaar voor landen en inlichtingendiensten. Partijen die vaak interesse in Tor-gebruikers hebben.
Gebruikers krijgen dan ook het dringende advies om zo snel als mogelijk naar Tor Browser 6.0.5 te updaten, die op Firefox 45.4.0esr is gebaseerd. In deze versie is het probleem gepatcht. Mozilla heeft de kwetsbaarheid in de verschillende Firefox-versies verholpen, maar deze versies zijn op het moment van schrijven nog niet uitgekomen. Verder bevat Tor 6.0.5 nieuwe versies van de Tor-software en HTTPS-Everywhere. Updaten kan via de browser of TorProject.org.
Elke Torbrowser release bevat een update van de addons / extensions.
Je kon er al voor kiezen, om diverse redenen, die automatische update uit te zetten.
Zoveel extension updates zijn er niet binnen de release cycle van de browser.
Maar goed, het is een voorstelbaar security issue.
Er is overigens nog wat anders aan de hand met Torproject, dat helaas op zich begrijpelijkerwijs onderbelicht blijft maar als je het weet en hebt opgemerkt je vertrouwen in de nieuwe leiding van het project zou kunnen doen afnemen.
Al een tijdje is er duidelijk merkbaar dat security gevoelige feedback al dan niet vergezeld met kritische opmerkingen naar Torproject of aangaande bijdragen van Torproject medewerkerbloggers, vaak niet meer worden geplaatst. Ook niet na herformulering. Als het te gevoelig ligt komt het er niet door.
Kritische bijdragen en of voor Torproject mogelijk gevoelige zaken worden botweg weggehouden van de eigen open ogende pagina's met reactie mogelijkheid.
Dat geeft meer en meer te denken over wat er daar aan de hand is.
Nieuwe koers? Een privacy variant op walt Disneyland waar iedereen verplicht is kritiekloos lief te lachen?
Allemaal meisjesachtig met bloemetjes in de haren parmantig het protest verklaren?
Het begint er meer en meer op te lijken daar en geeft te denken wat de nieuwe agenda van dit project nu werkelijk is.
Bedenk dat als je het Torblog leest en velen het voortdurend met elkaar eens zijn dat niet geheel toevallig meer is, als het dat al was.
Niet zo raar dat lekken en kritiek op het project dus op andere plekken op het web verschijnen.
Censored blog
https://blog.torproject.org/
Ook blijkt het niet zo heel moeilijk om je add-on door mozilla te laten ondertekenen aangezien het automatisch gaat en je je add-on volgens mij niet hoeft te publiceren. Wat ik wel raar vind is dat Firefox zomaar een andere add-on als update accepteert. Lijkt me dat het een naam of een guid zou moeten checken die niet vervalst kan worden omdat Mozilla de add-ons ondertekent.
Toch mooi dat door middel van Tor dit soort fouten eruit gehaald worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.