22.08.2014
Anonymes Surfen
Firefox-Tor-Browser auf Sicherheit überprüft
Autor: Robert Schanze
Der Tor-Browser, der anonymes und sicheres Surfen im Internet ermöglichen soll, basiert auf Firefox mitsamt dessen Sicherheitslücken. Experten haben nun die größten Lücken aufgedeckt.
Sicherheitsforscher von iSEC Partners haben im Auftrag der Tor-Entwickler den Web-Browser Firefox auf Sicherheitslücken untersucht. Firefox dient als Basis für das Tor-Browser-Paket. Eine Analyse auch über ältere Versionen hinweg zeigte, dass die meisten Lücken sogenannte "Use-After-Free"-Fehler sind.
Bei "Use-After-Free"-Fehlern greift der Browser auf Speicherbereiche zurück, die er aber schon wieder freigegeben hatte. Dadurch hat Windows unter Umständen diese Speicherbereiche bereits mit anderen Daten überschrieben. Wenn Firefox dann versucht auf diese für ihn ungültigen Daten zuzugreifen, kann es zum Absturz des Browser kommen.
Zweithäufigste Fehlerursache war ein fehlerhafter Heap. Dabei handelt es sich um einen dynamischen Zwischenspeicher, der während der Laufzeit des Firefox-Browsers erstellt wird.
Für iSEC Partners war der wichtigste Punkt die deaktivierte "Adress Space Layout Randomization" (ASLR) des Tor-Browsers. Durch ASLR weist das jeweilige Betriebssystem den Programmen Adressbereiche auf zufälliger Basis zu, um ihr Verhalten unvorhersehbar zu machen. Dadurch soll die Funktion Angriffe durch den bekannten "Buffer-Overflow" – den Pufferüberlauf – verhindern.
Die Tor-Browser-Entwickler wollen die Sicherheitslücken nach und nach aus ihrer Browser-Basis Firefox entfernen. Auch ist ein Sicherheits-Schieberegler geplant, über den Nutzer schrittweise Funktionen wie Javascript, HTML5-Medien und SVG – skalierbare Vektor-Grafiken – deaktivieren können. Zudem freut sich das Team auf die zukünftige Sandbox-Funktion von Firefox, die auch das Tor-Browser-Paket sicherer machen wird.
Laut eigeben Angaben sei das jetzige Tor-Browser-Paket aber immer noch die beste Wahl, wenn es um Privatsphäre und sicherers Surfen im Internet geht.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>