近日,网络安全公司 Recorded Future 旗下的新闻网站 The Record 报道称,多个黑客团体正利用 Firefox 浏览器中一个已修复的严重“use-after-free”漏洞(编号 CVE-2024-9680),对 Tor Browser 用户发起攻击。该漏洞允许攻击者在浏览器内容进程中执行任意恶意代码,从而可能实现浏览器劫持,尽管在以隐私著称的 Tails 操作系统中不会导致用户身份的去匿名化。
漏洞概述:CVE-2024-9680
CVE-2024-9680 是一个被评为“高危”的内存损坏漏洞,源于 Firefox 动画时间线中的“use-after-free”错误。ESET 安全研究人员首先发现并报告了该问题。该漏洞的严重性在于,它可以被远程攻击者利用,无需用户点击或交互,就能执行代码并获取浏览器控制权。
Mozilla 在 2024 年 10 月 8 日推出了 Firefox 131.0.2 版本以修复此漏洞,紧接着 Tor Browser 也迅速发布了 13.5.7 版本,将修复集成到其浏览器中。
Tor Browser 用户面临的风险
虽然 Tor Browser 的目标是提供高度匿名的网络浏览体验,但由于其代码基础与 Firefox ESR 高度相似,因此此类漏洞同样会影响 Tor Browser 用户。Tor 项目团队发布声明称,他们已经确认黑客正在利用该漏洞对 Tor Browser 发起实际攻击。
不过值得注意的是,尽管该漏洞可以让攻击者控制 Tor Browser,但在使用 Tails 操作系统时,攻击并不能轻易打破用户的匿名性。
零点击攻击带来的严重后果
CVE-2024-9680 是一种零点击漏洞(Zero-click exploit),攻击者无需诱导用户点击任何链接即可利用漏洞。这种攻击方式对用户而言极具威胁性,特别是当他们依赖 Tor Browser 访问敏感信息或进行安全通信时。
Mozilla 称,该漏洞正在被“野外利用”,并已收到相关入侵报告。攻击者所使用的攻击链具备完整的远程代码执行能力。
用户应如何应对
Tor Browser 官方强烈建议所有用户立即升级至 13.5.7 或更高版本,以避免受到攻击。以下是建议的安全措施:
-
立即升级浏览器:前往 torproject.org 下载最新版 Tor Browser。
-
启用最高安全等级:在浏览器设置中将安全等级调整为“最安全”,以阻止所有脚本执行。
-
避免访问未知或不可信网站:尽量避免访问存在潜在威胁的链接,尤其是在敏感环境中。
-
使用 Tails 操作系统:对于极度重视匿名性的用户,建议在 Tails 上运行 Tor Browser 以获得更强的保护。
-
定期检查更新日志:关注 Mozilla 和 Tor 项目的安全通告,及时了解并响应新发现的漏洞。
总结
CVE-2024-9680 的曝光再次提醒我们,即便是以隐私为核心的 Tor Browser,也不能完全免疫于日益复杂的网络攻击。对于依赖其进行匿名浏览的用户而言,及时更新与保持警惕是保障安全的最基本手段。