Von den unabhängigen Spezialisten von iSEC Partners haben die Entwickler des auf Firefox basierenden Tor Browsers ihre Software untersuchen lassen. Wege aufzuzeigen, wie der Tor Browser weiter gehärtet werden kann, war das Ziel der Studie. Den Einsatz des Anonymisierungs-Netzes Tor soll die Software Nutzern so einfach wie möglich machen. Die Entwickler wollen ihre Software darüber hinaus als Browser-Alternative für Nutzer etablieren, die im Netz Wert auf ihre Privatsphäre legen.

Die Pentester von iSEC merken als wichtigsten Punkt an, dass sowohl bei der Windows- als auch der Mac-Ausgabe des Browsers die Speicherverwürfelung ASLR deaktiviert ist. Auf Windows war den Entwicklern das Problem bekannt und an einer Lösung arbeite man bereits. Neu war den Entwicklern allerdings, dass das Sicherheitsfeature auch auf OS X bei ihrem Browser deaktiviert ist. Das Problem ist, dass es für den Mac keine 64-Bit-Version des Tor Browsers gibt, was die Entwicklern nun ebenfalls beheben wollen.

iSEC empfiehlt zusätzlich, dass die Tor-Entwickler beim Pwn2Own-Wettbewerb einen Preis ausschreiben und Hacker dafür bezahlen, im Browser im Rahmen dieses Wettbewerbs Sicherheitslücken zu melden. Die Entwickler suchen, um das Preisgeld zusammen zu bekommen, nun Sponsoren. Man halte es allerdings, da die Härtung des Browsers noch nicht weit genug fortgeschritten sei, für unwahrscheinlich beim nächsten Wettbewerb im März bereits teilnehmen zu können.

Die historische Verteilung von Firefox-Sicherheitslücken haben sich die Tester von iSEC außerdem angesehen und dabei kam heraus, dass die meisten Lücken in Mozillas Browser auf Use-After-Free-Fehler, also den Zugriff auf vom Programm eigentlich schon freigegebenen Speicher, zurückgehen. Allgemeine Probleme bei der Verarbeitung des Heap sind der zweithäufigste Fehler. In Zukunft will man sich deswegen die Speicherverwaltung des Browsers vornehmen und beim Kompilieren des Tor Browsers zusätzliche Schutzmaßnahmen aktivieren.

Ein Schieberegler soll in zukünftigen Versionen der Software bestimmte Funktionen, wie etwa HTML5-Multimedia-Tags, JavaScript-JIT und die SVG-Darstellung, schrittweise deaktivieren. Jeder Nutzer soll sich so die eigene Mischung aus Sicherheit und Nutzbarkeit zusammenstellen können. Trotz der sicherheitsrelevanten Bugs in Firefox will man aber trotzdem, da es keine Alternative gebe, bei der sich die Privatsphäre-Funktionen des Tor-Bundles sicherer und einfacher umsetzen ließen, bei dem Browser bleiben. Da Google vorgeschlagene Änderungen der Entwickler nicht umsetzen wollte, war die Zusammenarbeit der Firma an einer Chrome-Variante ins Stocken geraten.

(mt, hannover)

(siehe auch Heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE