Det amerikanska IT-säkerhetsföretaget iSEC Partners har fått i uppdrag att genomföra ett penetrationstest av webbläsaren för Tor. Det som kallas för Tor Browser Bundle och uppdraget är beställt av Open Technology Fund (OTF).

iSEC  tittare närmare på inställningar som återfinnes under about:config samt kompilatorinställningar för de olika plattformarna som Tor Browser Bundle (TBB) levereras för. Även så har företaget tittat på historiska buggar som uppdagats till Firefox som TBB baserats på samt hur dessa kan förmildras i framtiden.

Ett av förslagen är att byta ut den malloc-implementation som används (jemalloc) till den som Google har utvecklat för Chrome vid namn PartitionAlloc.

Övriga förslag till åtgärder är:

• Inför ASLR (slumpad minnsallokering) på Windows samt Mac OS X
• Ställ upp i Pwn2Own tävling
• Testa Firefox exploits tillsammans med Microsoft EMET (The Enhanced Mitigation Experience Toolkit)

Rapport

Rapporten kan du ladda hem i sin helhet som PDF här:

Jonas Lejon som skrivit denna artikel driver företaget Triop AB och är en av Sveriges främsta IT-säkerhetsexperter. Kontakta mig gärna på [email protected] om Er organisation behöver hjälp.

@kryptera

Dela gärna detta inlägg: