Tor浏览器中存在TorMoil漏洞 导致用户真实IP地址遭泄露

前言 Tor项目团队为Mac和Linux发布了Tor浏览器的安全更新，修复了泄露用户真实IP地址的一个漏洞。 这个漏洞是由意大利网络安全和道德黑客公司We Are Segment的首席执行官Filippo Cavallarin发现的。Cavallarin将该漏洞命名为TorMoil，并于上上周私下告知Tor项目团队。Tor项目的开发人员和火狐团队（Tor浏览器基于火狐浏览器）共同发布了修复方案。 目前，Tor团队发布了版本7.0.9解决这个漏洞问题。该版本仅适用于Mac和Linux用户。Windows版本的Tor浏览器并未受影响。 IP泄露由 “file://” 链接造成 Cavallarin指出，这个问题实际上是一个火狐bug，它存在于火狐浏览器处理file:// URL的方式。虽然这个问题对于火狐而言没有影响，但对于Tor浏览器而言是灾难性的。 Cavallarin表示，当受影响的Tor浏览器用户导航至一个特殊构造的网页时，操作系统可能会直接连接到远程主机，绕过Tor浏览器。这种直接连接到页面的方式并不会通过Tor中继网络，于是泄露了用户的真实IP地址。 TorMoil漏洞尚未被利用 Tor项目团队在一份声明中指出，尚未发现TorMoil被利用的迹象。然而，攻击者能够逆向Tor浏览器二进制并删除已修复的漏洞。精通编程的人员能非常轻易地了解这个bug是如何发生的并创建一个利用代码。 虽然多数Linux用户受影响，但Tor项目团队表示在Tails OS发行版本上运行Tor浏览器的Linux用户并未受影响，以及使用（仍在起步阶段的）沙箱版本的Tor浏览器的用户也未受影响。 Tor开发人员表示，修复IP地址泄露的补丁是个应急措施，也只是匆匆忙忙拼凑用来尽快解决问题的补丁，在某些情况下file://的URL功能可能会崩溃。 本文由 安全客 翻译，原文链接：http://bobao.360.cn/news/detail/4365.html

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/