近日,Tor Browser正式发布13.5.7版本,对存在严重安全隐患的高危漏洞CVE-2024-9680进行了紧急修复。该漏洞此前已在野外被黑客利用,能够导致远程代码执行(RCE),对用户隐私和数据安全构成巨大威胁。
漏洞详情:Firefox动画时间线中的Use-After-Free
该漏洞编号为CVE-2024-9680,被Mozilla归类为“高危(High Severity)”安全问题。漏洞存在于Firefox浏览器的动画时间线(Animation Timeline)组件中,属于典型的use-after-free类型。
根据Mozilla发布的安全通告,攻击者可以通过构造恶意网页,在无需用户进一步交互的情况下,远程触发该漏洞,在受害者的计算机上执行任意代码。这种漏洞如果被成功利用,攻击者可能完全控制用户的浏览器进程,从而进一步窃取敏感信息或植入恶意软件。
Tor Browser也受到影响
由于Tor Browser基于Firefox ESR版本构建,因此该漏洞同样影响到Tor Browser的用户。Mozilla在接收到来自安全公司ESET的漏洞利用样本后,迅速进行了漏洞分析和补丁开发。在不到26小时的时间内,Mozilla完成了补丁的交付,并将修复纳入到Firefox 131.0.2及ESR版本128.3.1、115.16.1中。
作为回应,Tor Browser也立即发布了13.5.7版本,集成了上述安全修复补丁,确保用户在匿名浏览时的数据和系统安全不被新漏洞所威胁。
Tor项目团队:可能影响浏览器安全但不会去匿名化
Tor Browser维护团队在更新说明中指出,尽管该漏洞确实可以让攻击者控制浏览器内容进程,但其并不会直接导致用户身份被去匿名化,特别是在使用Tails系统的情况下。Tails是一种以隐私为核心的安全操作系统,已于2024年9月与Tor项目合并。
不过,Tor Browser团队也提醒用户,不应掉以轻心,及时升级至13.5.7版本依然是防止漏洞被利用的必要措施。
用户应立即采取的安全措施
为了保护自己的上网安全,建议所有Tor Browser用户立刻执行以下操作:
-
立即更新至13.5.7版本或更高版本,确保所有补丁均已安装。
-
避免访问来源不明的网站链接,尤其是在收到陌生邮件、社交媒体消息中的链接时。
-
定期关注Tor Browser官方网站与社区公告,及时了解最新的安全动态。
-
如果您使用的是Tails系统,同样应检查并确保Tor Browser已被更新至含有补丁的版本。
Mozilla强调:此类漏洞并非Firefox独有
Mozilla在其官方博客中表示,虽然该漏洞严重且已被利用,但所有主流浏览器(包括Chrome、Safari等)都有可能在复杂代码中存在类似问题。此次事件凸显出开源社区在漏洞响应方面的快速反应和高效能力。未来,Mozilla也将继续加强对Firefox及其衍生浏览器的安全性硬化工作。
结语
Tor Browser因其匿名性和安全性深受全球用户喜爱,而本次漏洞事件再次提醒我们,即便是以隐私为核心设计的浏览器也并非绝对安全。用户必须保持高度警觉,及时更新软件,并关注官方安全通报,以便第一时间获得保护措施。