Sicherheitslücke im TOR-Client
Do 8. Nov 2012, 18:04
Wie Code-Experte Andrey Karpov bei einer Analyse des TOR-Quellcodes herausfand, verwendet die Anonymisierungssoftware eine Funktion namens memset() zum Löschen von Cache-Daten, welche nicht von allen Compilern unterstützt wird. Das kann unter Umständen dazu führen, dass der TOR-Client vertrauliche Daten wie etwa Passwörter im Speicher zurück lässt, wenn er beendet wird.
Die memset-Funktion ist deshalb problematisch, weil sie bei der Geschwindigkeitsoptimierung der TOR-Software durch einen Compiler wie in Microsoft Visual Studio 2010 automatisch entfernt wird. Wurde TOR mit einem solchen Compiler übersetzt, bleiben die Daten im Speicher zurück, wo sie etwa durch eine Schadsoftware ausgelesen werden können.
Das TOR Projekt bietet seinen Nutzern die Möglichkeit ihre Identität zu anonymisieren, indem ihr Traffic über ein verteiltes Netzwerk gesendet wird. Damit soll die Zuordnung und Entschlüsselung der Datenpakete durch Außenstehende verhindern werden.
http://www.heise.de/newsticker/meldung/ ... 46523.html
Do 8. Nov 2012, 18:04
Re: Sicherheitslücke im TOR-Client
Di 27. Nov 2012, 20:58
Fixed ! 
We fix that by using OpenSSL's OPENSSL_cleanse() operation, which a compiler is unlikely to optimize away.
*** Der Link ist nur für Mitglieder sichtbar. Bitte registriere Dich, oder logge dich ein. ***
Bei iphpbb3.com bekommen Sie ein kostenloses Forum mit vielen tollen Extras
Forum kostenlos einrichten - Hot Topics - Tags
Beliebteste Themen: Erde, Österreich, Wien, USA, NES
Impressum | Datenschutz