講到瀏覽網頁要保持私隱、可匿名、隱藏 IP 、防止監聽兼翻牆來瀏覽網站,相信不少人會想到使用「洋葱路由( The Orion Router, Tor)」技術的 Tor Browser 。不過這個以保密見稱的瀏覽器,剛剛就被發現其 Mac 版和 Linux 版出現漏洞,可能會洩露用戶的 IP 。
Tor Browser 是一個針對私隱和匿名性的改裝版 Firefox 瀏覽器,它採用一種叫 「洋葱路由( The Orion Router, Tor)」的匿名網絡技術,將發信者(瀏覽者)所發出的訊息,像洋葱一樣一層一層的加密起來,並經過一系列被稱為洋葱路由器的網絡節點傳送。信息在經過每一個洋葱路由器時都會將封包最外層解密,直到目的地才能解出最後的信息。正因為這個機制,每一個網絡節點都只能夠知道上一個節點的位置,而不會知道整個傳送路徑和發信者的地址。
由於它停用了 Javascript 、Flash 、 Java 等插件和腳本,又預設開啟了 HTTPS Everywhere 和 NoScript 等擴充套件,以防止別人取得用戶資訊,所以被視為非常安全的瀏覽器。
不過今次的漏洞就可以讓有心人透過引導用戶點擊經過加工的「 file:// 」檔案網址,來繞過 Tor Browser ,令 OS 直接跟遠端的主機連接,從而洩露本身的 IP 地址。據知今次漏洞是源於 Firefox 在處理「 file:// 」檔案網址時的臭蟲。今次的漏洞只波及 Mac 版和 Linux 版的 7.0.8 版本,Windows 版、匿名 OS 「 Tails 」和沙箱化的 Tor Browser 都不受影響,可以繼續使用。
今次漏洞是由意大利的保安企業 We Are Segment 在 10 月 26 日報告, Tor Browser Project 隨即在 Mozilla 的協助下於翌日推出舒緩方案,並於 10 月 31 日對已知的問題進行修正,在受影響平台推出 Tor Browser 7.0.9 。不過 Tor Browser Project 方面表示這只是緩和處理而已,這次修正版已知會導致瀏覽器不處理在地址列輸入的「 file:// 」檔案連結,他們建議用戶打開一個新 Tab 後將有關檔案抓取到該 Tab 來打開檔案。
下載最新版本 Tor Browser:按此
© 2020 Plug Media Services Limited. All Rights Reserved. [3]