Die Entwickler des anonymen Netzwerks Tor haben die Ergebnisse eines Audits des Tor Browsers sowie der im Rahmen des Projekts entwickelten Tools OONI Probe, rdsys, BridgeDB und Conjure, die zur Umgehung von Zensur eingesetzt werden, veröffentlicht. Das Audit wurde von der Firma Cure53 von November 2022 bis April 2023 durchgeführt.
Im Laufe der Überprüfung wurden 9 Schwachstellen festgestellt, von denen zwei als kritisch, eine als mittel und sechs als geringfügig gefährlich eingestuft wurden. Außerdem wurden im Code zehn Probleme identifiziert, die nicht sicherheitsrelevant sind. Insgesamt wurde der Code des Tor-Projekts als konform mit sicheren Programmierpraktiken bewertet.
Die erste kritische Schwachstelle befand sich im Backend des verteilten Systems rdsys, das zensierbaren Benutzern den Zugang zu Ressourcen wie Proxy-Listen und Download-Links ermöglicht. Diese Schwachstelle entstand durch das Fehlen einer Authentifizierung beim Zugriff auf die Registrierungsstelle für Ressourcen, was es einem Angreifer ermöglichte, eine eigene schädliche Ressource zur Auslieferung an die Benutzer zu registrieren. Die Ausnutzung besteht darin, eine HTTP-Anfrage an den rdsys-Handler zu senden.

Die zweite gefährliche Schwachstelle wurde im Tor Browser entdeckt und resultierte aus dem Fehlen einer Überprüfung der digitalen Signatur beim Empfang der Liste von Brücken-Knoten über rdsys und BridgeDB. Da die Liste im Browser während der Phase vor der Verbindung mit dem anonymen Tor-Netzwerk geladen wird, ermöglichte das Fehlen einer kryptografischen digitalen Signatur, dass ein Angreifer den Inhalt der Liste manipulieren konnte, beispielsweise durch Abfangen der Verbindung oder durch einen Hack, über den die Liste verbreitet wurde. ServerIm Falle eines erfolgreichen Angriffs konnte der Angreifer die Benutzer über seinen eigenen kompromittierten Brücken-Knoten verbinden.
Eine Sicherheitsanfälligkeit mittlerer Gefahr war im rdsys-Subsystem im Bereitstellungsskript für Builds vorhanden und ermöglichte es einem Angreifer, seine Berechtigungen von dem Benutzer nobody auf den Benutzer rdsys anzuheben, sofern Zugang zu Server und Schreibzugriff auf das Verzeichnis für temporäre Dateien vorhanden war. Das Ausnutzen der Schwachstelle besteht darin, eine ausführbare Datei im Verzeichnis /tmp zu ersetzen. Der Erwerb der Benutzerrechte von rdsys erlaubt es dem Angreifer, Änderungen an den über rdsys ausgeführten Dateien vorzunehmen.
Sicherheitsanfälligkeiten geringer Gefahr waren hauptsächlich mit der Verwendung veralteter Abhängigkeiten verbunden, die bekannte Schwachstellen aufwiesen, oder mit der Möglichkeit, einen Denial-of-Service-Angriff durchzuführen. Unter den geringfügigen Schwachstellen im Tor-Browser ist die Möglichkeit zu erwähnen, das Ausführen von JavaScript beim höchsten Schutzniveau zu umgehen, fehlende Einschränkungen beim Hochladen von Dateien und potenzielle Informationslecks über die Benutzer-Homepage, die es ermöglichen, Benutzer zwischen Neustarts zu verfolgen.
Derzeit wurden alle Sicherheitsanfälligkeiten behoben. Unter anderem wurde eine Authentifizierung für alle rdsys-Handler implementiert und eine Überprüfung der in den Tor Browser geladenen Listen auf digitale Signaturen hinzugefügt.
Zusätzlich ist die Veröffentlichung des Tor Browsers 13.0.1 zu erwähnen. Diese Version ist mit dem Code von Firefox 115.4.0 ESR synchronisiert, in dem 19 Sicherheitsanfälligkeiten behoben wurden (davon 13 als kritisch eingestuft). Die Sicherheitskorrekturen aus der Firefox 119-Version wurden in die Android-Version des Tor Browsers 13.0.1 übernommen.
Quelle: opennet.ru
