Det amerikanska IT-säkerhetsföretaget iSEC Partners har fått i uppdrag att genomföra ett penetrationstest av webbläsaren för Tor. Det som kallas för Tor Browser Bundle och uppdraget är beställt av Open Technology Fund (OTF).
iSEC tittare närmare på inställningar som återfinnes under about:config samt kompilatorinställningar för de olika plattformarna som Tor Browser Bundle (TBB) levereras för. Även så har företaget tittat på historiska buggar som uppdagats till Firefox som TBB baserats på samt hur dessa kan förmildras i framtiden.
Ett av förslagen är att byta ut den malloc-implementation som används (jemalloc) till den som Google har utvecklat för Chrome vid namn PartitionAlloc.
Övriga förslag till åtgärder är:
- Inför ASLR (slumpad minnsallokering) på Windows samt Mac OS X
- Ställ upp i Pwn2Own tävling
- Testa Firefox exploits tillsammans med Microsoft EMET (The Enhanced Mitigation Experience Toolkit)
Rapport
Rapporten kan du ladda hem i sin helhet som PDF här:
