網(wǎng)絡(luò)安全公司 We Are Segment 研究人員 Filippo Cavallarin 近期在 FireFox 瀏覽器中發(fā)現(xiàn)一處關(guān)鍵漏洞 —— TorMoil，能夠?qū)е掠脩粽鎸?shí) IP 地址在線泄漏。該漏洞最終也將影響 Tor 瀏覽器，因?yàn)?Tor 服務(wù)的隱私保護(hù)核心允許用戶在線匿名使用 FireFox 瀏覽器訪問(wèn)網(wǎng)頁(yè)。

據(jù)稱，Linux 和 MacOS 系統(tǒng)的 Tor 瀏覽器普遍受到影響。不過(guò)，目前 Tor Project 已將 Tor 瀏覽器升級(jí)至 7.0.9 版本進(jìn)行補(bǔ)丁修復(fù)。

調(diào)查顯示，TorMoil 漏洞是用戶在 Firefox 瀏覽器中處理“file://url”鏈接時(shí)發(fā)現(xiàn)的。據(jù)悉，當(dāng)用戶點(diǎn)擊以 file://url 為開(kāi)頭的鏈接后，系統(tǒng)會(huì)自動(dòng)觸發(fā) TorMoil 漏洞。一旦受影響用戶運(yùn)行的是 MacOS 或 Linux 系統(tǒng)，它就會(huì)重定向至另一惡意網(wǎng)頁(yè)，從而允許攻擊者遠(yuǎn)程操作用戶主機(jī)系統(tǒng)。目前，考慮到 Tor 用戶的安全與隱私問(wèn)題，其研究人員并未在線公布漏洞相關(guān)細(xì)節(jié)。

Tor Project 表示，雖然現(xiàn)在并沒(méi)有證據(jù)表明該漏洞未被國(guó)家贊助的黑客或技術(shù)高超的網(wǎng)絡(luò)犯罪分子利用，但由于暗網(wǎng)市場(chǎng)對(duì)于 Tor 的零日漏洞需求很大，因此 Tor 代理商 Zerodium 極其擔(dān)心用戶遭受網(wǎng)絡(luò)攻擊。另一方面，為了保護(hù)用戶的隱私問(wèn)題，Tor Project 近期發(fā)布 Tor 0.3.2.1-alpha 版本，集成了最新加密技術(shù)，其中還包括對(duì)于下一代 Tor 服務(wù)的支持。