Das anonymisierende Linux-System Tails hat eine aktualisierte Version veröffentlicht. In dieser neuen Version; 6.12, schließen die Entwickler kritische Sicherheitslücken. Diese Lücken ermöglichten es Angreifern die Identität der Nutzer zu enthüllen.
Sicherheitslücken im Tor-Netzwerk
In der Versionsankündigung beschreiben die Entwickler, ebenso wie Angreifer Tor-Circuits überwachen können. Um dies zu tun; benötigen sie die Kontrolle über Anwendungen in Tails. So könnten sie Schwachstellen in den Onion-Circuits und ebenfalls im Tor-Browser-Wrapper ausnutzen. Dies würde letztlich zur Deanonymisierung der Nutzer führen. Zusätzlich gibt es eine zweite Sicherheitslücke. Angreifer könnten damit die Einstellungen des persistenten Speichers verändern. Das Tails-Projekt geht nicht näher auf die Methoden der Kontrollübernahme über Anwendungen ein.
Update nach Sicherheitsaudit
Die Schwachstellen wurden durch ein Security-Audit entdeckt, welches von Radically Open Security durchgeführt wurde. Mit Version 6.12 und neuer wird nun Abhilfe geschaffen. Darüber hinaus gibt es neue Funktionen in der aktualisierten Ausgabe. Der "Über Tails"-Dialog erhält eine Schaltfläche zur Suche nach Upgrades. Das Tastenkürzel "Strg" + "Alt" + "T" öffnet jetzt direkt ein Terminal-Fenster.
Aktualisierungen der Software
Der Tor-Browser in der neuen Version ist auf 14.0.5 aktualisiert, während Thunderbird unter der Version 128.6.0esr läuft. Python-Code wird nun wieder vollständig im isolierten Modus ausgeführt. Außerdem friert der Willkommensbildschirm beim Aktivieren des persistenten Speichers nicht weiterhin ein. Die Zeitsynchronisation beim Start von Tor ist zuverlässiger geworden. Bei einem fehlgeschlagenen Upgrade der Verschlüsselung des persistenten Speichers auf LUKS2 zeigt Tails jetzt eine Fehlermeldung an.
Probleme mit zusätzlicher Software
Ein bestehendes Problem bleibt jedoch bestehen. Bei Fehlern während der Installation zusätzlicher Software aus dem persistenten Speicher funktionieren die Schaltflächen "Configure" und "Show Log" nicht.
Verfügbarkeit der neuen Version
Die aktuelle Version des anonymisierenden Linux, das "für die Hosentasche" gedacht ist, steht jetzt als Download bereit. Nutzer können sie auf USB-Sticks installieren oder als ISO-Image für DVD-Brenner auf der Tails-Webseite herunterladen. Bereits in der vorherigen Version 6.11 die im Januar erschienen ist, haben die Entwickler kritische Sicherheitslücken geschlossen. Angreifer hätten über einen kleinen Umweg durch den integrierten Updater bösartige Upgrades einschleusen können. So wäre eine dauerhafte Kontrolle über verwundbare Tails-Systeme möglich gewesen.
Kommentare