产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
前言
tor项目团队为mac和linux发布了tor浏览器的安全更新,修复了泄露用户真实ip地址的一个漏洞。
这个漏洞是由意大利网络安全和道德黑客公司we are segment的首席执行官filippo cavallarin发现的。cavallarin将该漏洞命名为tormoil,并于上上周私下告知tor项目团队。tor项目的开发人员和火狐团队(tor浏览器基于火狐浏览器)共同发布了修复方案。
目前,tor团队发布了版本7.0.9解决这个漏洞问题。该版本仅适用于mac和linux用户。windows版本的tor浏览器并未受影响。
ip泄露由 “file://” 链接造成
cavallarin指出,这个问题实际上是一个火狐bug,它存在于火狐浏览器处理file:// url的方式。虽然这个问题对于火狐而言没有影响,但对于tor浏览器而言是灾难性的。
cavallarin表示,当受影响的tor浏览器用户导航至一个特殊构造的网页时,操作系统可能会直接连接到远程主机,绕过tor浏览器。这种直接连接到页面的方式并不会通过tor中继网络,于是泄露了用户的真实ip地址。
tormoil漏洞尚未被利用
tor项目团队在一份声明中指出,尚未发现tormoil被利用的迹象。然而,攻击者能够逆向tor浏览器二进制并删除已修复的漏洞。精通编程的人员能非常轻易地了解这个bug是如何发生的并创建一个利用代码。
虽然多数linux用户受影响,但tor项目团队表示在tails os发行版本上运行tor浏览器的linux用户并未受影响,以及使用(仍在起步阶段的)沙箱版本的tor浏览器的用户也未受影响。
tor开发人员表示,修复ip地址泄露的补丁是个应急措施,也只是匆匆忙忙拼凑用来尽快解决问题的补丁,在某些情况下file://的url功能可能会崩溃。
本文由 安全客 翻译,原文链接:http://bobao.360.cn/news/detail/4365.html
试用申请
