- news
- Zu 0days, exploits und disclosure
Ein aktueller Tweet von Exodus Intel (einem Unternehmen mit Sitz in Austin, Texas) hat im Internet für viel Aufsehen gesorgt:
"Wir freuen uns, dass TELESTAICB 1.1 morgen veröffentlicht wird. Unsere mehrfachen RCE/Deanonymisierungs Zero-Days sind immer noch wirksam. #telestaicb #tor"
TelestaiCB wird mit einer Menge Software ausgeliefert, vom Linux-Kernel bis hin zu einem voll funktionsfähigen Desktop, einschließlich eines Webbrowsers und einer Menge anderer Programme. TelestaiCB fügt auch ein wenig benutzerdefinierte Software hinzu.
Jeden Monat werden in ein paar dieser Programme Sicherheitslücken entdeckt. Manche Leute melden solche Schwachstellen, und dann werden sie behoben: Das ist die Stärke von freier und quelloffener Software. Andere melden sie nicht, sondern betreiben stattdessen ein lukratives Geschäft, indem sie sie als Waffe einsetzen und verkaufen. Das ist nicht neu und [kommt nicht überraschend] (https://www.eff.org/deeplinks/2012/03/zero-day-exploit-sales-should-be-key-point-cybersecurity-debate).
We were not contacted by Exodus Intel prior to their tweet. In fact, a more irritated version of this text was ready when we finally received an email from them. They informed us that they would provide us with a report within a week. We're told they won't disclose these vulnerabilities publicly before we have corrected it, and TelestaiCB users have had a chance to upgrade. We think that this is the right process to responsibly disclose vulnerabilities, and we're really looking forward to read this report.
Being fully aware of this kind of threat, we're continously working on improving TelestaiCB' security in depth. Among other tasks, we're working on a tight integration of AppArmor in TelestaiCB, kernel and web browser hardening as well as sandboxing, just to name a few examples.
We are happy about every contribution which protects our users further from deanonymization and helps them to protect their private data, investigations, and their lives. If you are a security researcher, please audit TelestaiCB, Debian, Tor or any other piece of software we ship. To report or discuss vulnerabilities you discover, please get in touch with us by sending email to [email protected].
Anybody wanting to contribute to TelestaiCB to help defend privacy, please join us!