08.11.2012 16:39
Sicherheitslücke im TOR-Client Update
Wie Code-Experte Andrey Karpov bei einer Analyse des TOR-Quellcodes herausfand, verwendet die Anonymisierungssoftware eine Funktion namens memset() zum Löschen von Cache-Daten, welche nicht von allen Compilern unterstützt wird. Das kann unter Umständen dazu führen, dass der TOR-Client vertrauliche Daten wie etwa Passwörter im Speicher zurück lässt, wenn er beendet wird.
Die memset-Funktion ist deshalb problematisch, weil sie bei der Geschwindigkeitsoptimierung der TOR-Software durch einen Compiler wie in Microsoft Visual Studio 2010 automatisch entfernt wird. Wurde TOR mit einem solchen Compiler übersetzt, bleiben die Daten im Speicher zurück, wo sie etwa durch eine Schadsoftware ausgelesen werden können.
Das TOR Projekt bietet seinen Nutzern die Möglichkeit ihre Identität zu anonymisieren, indem ihr Traffic über ein verteiltes Netzwerk gesendet wird. Damit soll die Zuordnung und Entschlüsselung der Datenpakete durch Außenstehende verhindern werden.
[Update 09.11.2012, 11:45]:
Der Fehler wurde inzwischen von den Entwicklern behoben. Da das TOR-Projekt in seinen Konfigurations-Dateien ebenfalls auf den -02 Compiler-Flag zurückgreift, kann man nicht ausschließen, dass auch die offiziellen Binaries für Windows, Linux und MacOS X bis Version 2.2.39-5 von diesem Fehler betroffen sind.
(ogo)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
