Tor Browser bekommt neue Alpha und Sicherheitsupdates spendiert
Durch einen Aktualisierung des Firefox-Unterbaus schließen die Entwickler im Tor Browser 6.5 einige als kritisch eingestufte Sicherheitslücken. Zudem ist die erste Alpha des 7.0-Strangs erschienen.
Der Tor Browser für das anonymisierende Tor-Netzwerk ist in diversen abgesicherten Versionen erschienen. Die Entwickler haben unter anderem die Basis in Form von Firefox 45.7.0 ESR aktualisiert. In dieser Version hat Mozilla unter anderem drei mit dem Bedrohungsgrad kritisch versehene Schwachstellen geschlossen.
Nutzen Angreifer die Lücken aus, könnten sie etwa Sicherheitsmechanismen umgehen und im schlimmsten Fall Speicherfehler provozieren, um Schadcode auszuführen. Wer den Tor Browser nutzt, sollte also zügig eine der neuen Version installieren. Neben dem Firefox-ESR-Update erfahren auch HTTPS-Everywhere (5.2.9), NoScript (2.9.5.3), OpenSSL (1.0.2.j) und Tor (0.2.9.9) Aktualisierungen.
Noch anonymer und sicherer
Aus Sicherheitsgründen unterstützt der Tor Browser nun im Zusammenhang mit SHA-1 kein Public Key Pinning (HPKP) mehr. Zudem haben die Entwickler eigenen Angaben zufolge an verschiedenen Stellschrauben gedreht, um Möglichkeiten zum Tracken von Nutzern weiter zu minimieren. So wurde etwa in der Windows-Version ein Bug gefixt, der unter Umständen mit aktiviertem JavaScript die lokale Zeitzone leaken kann.
Die Bedienung der Sicherheitseinstellungen soll nun übersichtlicher sein und somit besser von der Hand gehen.
Neue Alpha
Die Sicherheitsupdates und Funktionen finden sich in in der Tor-Browser-Version 6.5. Zusätzlich hat das Tor-Team noch die Alpha-Version 7.0a1 und 7.0a1-hardened veröffentlicht. Mit diesen Ausgaben können Linux-Nutzer zum Beispiel Snowflake für Pluggable Transports (PTs) ausprobieren.
PTs kommen zum Einsatz, wenn etwa der Zugriff auf das Tor-Netzwerk aufgrund von Zensur blockiert ist. Der Ansatz lässt den Traffic zwischen Client und Bridge "unschuldig" aussehen, sodass eine Verbindung trotz Zensur möglich sein sollte. (des)
