Granskning av webbläsaren för Tor

av Publicerad den

Det amerikanska IT-säkerhetsföretaget iSEC Partners har fått i uppdrag att genomföra ett penetrationstest av webbläsaren för Tor. Det som kallas för Tor Browser Bundle och uppdraget är beställt av Open Technology Fund (OTF).

iSEC  tittare närmare på inställningar som återfinnes under about:config samt kompilatorinställningar för de olika plattformarna som Tor Browser Bundle (TBB) levereras för. Även så har företaget tittat på historiska buggar som uppdagats till Firefox som TBB baserats på samt hur dessa kan förmildras i framtiden.

Ett av förslagen är att byta ut den malloc-implementation som används (jemalloc) till den som Google har utvecklat för Chrome vid namn PartitionAlloc.

Övriga förslag till åtgärder är:

  • Inför ASLR (slumpad minnsallokering) på Windows samt Mac OS X
  • Ställ upp i Pwn2Own tävling
  • Testa Firefox exploits tillsammans med Microsoft EMET (The Enhanced Mitigation Experience Toolkit)

Rapport

Rapporten kan du ladda hem i sin helhet som PDF här:

Tor penetrationstest

Publicerad av Jonas Lejon

Senior granskare av applikationer, system och nätverk. Främst inom penetrationstester, redteaming och tekniska granskningar.

Lämna ett svar

Din e-postadress kommer inte publiceras.