Tag-Archive for » Sandbox «

Tor-Browser verrät die IP-Adresse

Ende Oktober fiel Filippo Cavallarin vom Sicherheitsunternehmen We Are Segment eine Sicherheitslücke im Tor-Browser unter Linux und MacOS auf.

Diese TorMoil genannte Schwachstelle öffnet Links, die mit „file://“ beginnen, am Tor-Browser vorbei. Dummerweise kann bei diesem Versuch die echte IP-Adresse des Nutzers mit übertragen werden – damit wird die vom Tor-Browser versprochene Anonymität dann ausgehebelt.

Es betrifft nur die Betriebssysteme MacOS und Linux

Nach den Erläuterungen der Sicherheitsexperten von We Are Segment steckt die Schwachstelle im Umgang des Browsers Firefox, der die Basis für den Tor-Browser bildet, mit Links. Windows-, Tail- und Sandbox-Nutzer sind von dem Problem nicht betroffen.

Noch vor dem letzten Wochenende haben die Tor-Entwickler einen Hotfix für den Tor-Browser erarbeitet. Der aktuelle Tor-Browser für Mac und Linux steht auf torproject.org in der Version 7.0.9 zum Download bereit.

Wer den Tor-Browser für Linux oder MacOS oder Tor-Software aus dem Alpha-Zweig der Entwicklung nutzt, sollte die neue Version so schnell wie möglich installieren. Heute soll noch eine überarbeitete Alpha-Version für Linux und MacOS online gestellt werden.

File-Links können dann nicht mehr angeklickt werden

Achtung: Der Hotfix in der neuen Browser-Version schließt zwar die Sicherheitslücke, bringt jedoch eine Einschränkung mit. Das Klicken auf „file://“-Links funktioniert damit nicht mehr. Nutzer können solche Links aber einfach in die Adressleiste ziehen, um dieses Problem zu umgehen.

Verbesserter Malware-Schutz in Googles Chrome

Die Windows-Version seines Browsers Chrome 62 hat Google jetzt um drei neue Funktionen erweitert. Alle drei sollen die Erkennung und Entfernung von Schadsoftware verbessern.

Insbesondere will der Browserhersteller verhindern, dass Malware und gefährliche Erweiterungen Suchergebnisse verändern oder Nutzer unfreiwillig in die Arme schädlicher Websites weiterleiten. Dabei erhält Google Unterstützung von dem slowakischen Sicherheitsanbieter Eset.

Google nicht verhindern, dass gefährliche Erweiterungen installiert werden, Deshalb kann Chrome jetzt aktiv werden, wenn eine Erweiterung Einstellungen des Browsers wie zum Beispiel die voreingestellte Suchmaschine ändert. In solchen Fällen weist Chrome auf die Änderung hin und bietet dann an, die ursprüngliche Einstellung wiederherzustellen.

Außerdem wurde die Funktion zum Zurücksetzen des Browsers auf die Werkseinstellungen (z.B. nach einer Malware-Infektion) neu gestaltet. Sie zeigt jetzt eine Warnung an, wenn Chrome eine unerwünschte Software entdeckt, und bietet auch Unterstützung bei deren Entfernung an. Bis jetzt gab es für diesen Zweck nur das separate Chrome Cleanup Tool. Auch die Warnmeldungen wurden neu gestaltet, um besser erkennen zu können, welche Software da entfernt wird.

Die dritte Neuerung bei Chrome 62 ist eine Malware Detection Engine, die nun als fester Bestandteil zu Chrome Cleanup gehört. Die stammt von Eset und arbeitet mit der Sandbox von Chrome zusammen. Damit ist Chrome jetzt in der Lage, deutlich mehr unerwünschte Software vom den Rechnern der Benutzer fernzuhalten als bisher.

 

Das Ende der Browser-Plugins naht

Chrome-LogoDeutliche Verbesserungen bei JavaScript und CSS haben die klassischen Plug-ins inzwischen zu überflüssigen Relikten gemacht. Weil es mit NPAPI kaum möglich ist, Plug-ins einigermaßen sicher in der Sandbox auszuführen oder wie bei modernen Browsern direkt Grafikprozessoren anzusprechen, um Performance-Reserven aus der Hardware herauszuholen, aber auch wegen häufiger Abstürze wird NPAPI in Chrome in Zukunft nicht mehr unterstützt.

Der Rückzug läuft etappenweise:Zurzeit führt Chrome solche Plugins (außer Java) noch per Default aus. Ab Januar laufen sie aber nur noch nach Aktivierung durch den Benutzer, und ab April 2015 auch dann nicht mehr, nur das Flag enable-npapi kann sie nach April ausnahmsweise nochmal aktivieren – bis auch das im September nächsten Jahres nicht mehr geht.

firefox-logoBei Mozillas Firefox sind die NPAPI-Plugins schon seit Version 30 defaultmäßig deaktiviert. Einige veraltete Plugins (z.B. Java, Quicktime und Flash) stehen dort schon auf einer Sperrliste.

Der Internet Explorer von Microsoft unterstützt die NPAPI-Plug-Ins aus Sicherheitsgründen schon seit mehr als 10 Jahren nicht mehr.

Symfony 2 PR 3 in der Sandbox

Die Version 2.0 des beliebten Frameworks steht vor der Tür. Viele interessante Neuerungen der kommenden Version kann man schon erkennen. Wer Symfony einmal zur Probe installieren möchte, sollte die Sandbox-Version zum Testen vom Symfony-Server unter http://symfony-reloaded.org/code herunterladen. Aktuell ist das Preview Release PR 3.

Man entpackt das PR 3 in das Rootverzeichnis seines Webservers, wodurch das Verzeichnis /sandbox angelegt wird. Dann wird die URL sandbox/web/check.php aufgerufen und das damit gestartete Test-Script überprüft alle für den Betrieb von Symfony 2 nötigen Einstellungen des Webservers.

Wenn das Testprogramm rote Einträge auswirft, sollten die dazugehörigen Empfehlungen nachvollzogen werden, damit auch alle Funktionen von Symfony 2 in der Sandbox-Installation funktionieren. Wenn alles grün ist, können Sie jetzt die neue Version von Symfony in der Sandbox auf Ihrem Webserver testen.

Category: Allgemein  Tags: , ,  Comments off