Sicherheitslücke im Tor Browser 7

Die Sicherheitslücke steckt in der Erweiterung NoScript, die standardmäßig im Tor Browser aktiviert ist.

Um die Lücke auszunutzen, muss ein Angreifer lediglich den Content-Type einer Webseite ins JSON-Format ändern (“text/html;/json”). Anschließend blockt NoScript keine aktiven Inhalte mehr und Angreifer könnten beispielsweise die IP-Adresse von Opfern auslesen. → heise

Wer Tor Browser 7 nutzt, sollte die aktuelle Version 8 installieren. Wer noch Firefox 52 ESR mit NoScript nutzt, sollte die abgesicherte NoScript-Version 5.1.8.7 installieren. Der aktuelle Tor Browser soll von dieser Lücke nicht betroffen sein.

Vor dieser Sicherheitslücke warnte überraschender Weise das auf  Zero-Day-Exploits spezialisierte Zerodium. Dessen Gründer hatte mit Zero-Day-Exploits gehandelt und die an Geheimdienste wie die NSA verscherbelt. Sehr vertrauenswürdiger Laden! Wenn die jetzt vor alten Sicherheitslücken warnen, frage ich mich doch, welche Lücken wohl im aktuelle Tor Browser stecken?