Tor浏览器零日漏洞揭晓

Zerodium是臭名昭着的漏洞利用供应商，今年早些时候提供了100万美元用于为Tor浏览器提交零日漏洞，今天公开披露了匿名浏览软件中一个关键的零日漏洞，可以向您访问的网站透露您的身份。 在推文中，Zerodium 分享了一个零日漏洞，该漏洞存在于NoScript浏览器插件中，预装了Tor软件中捆绑的Mozilla Firefox。 NoScript是一种免费的浏览器扩展，默认情况下可阻止所有网页上的恶意JavaScript，Java，Flash和其他潜在危险内容，但用户可以将他们信任的网站列入白名单。 根据Zerodium的说法，可以绕过Tor Browser 7.5.6中包含的NoScript“Classic”版本5.0.4到5.1.8.6（启用“最安全”安全级别）来运行任何JavaScript文件，方法是将其内容类型标题更改为JSON格式。 换句话说，网站可以利用此漏洞在受害者的Tor浏览器上执行恶意JavaScript，以有效识别其真实IP地址。 应该注意的是，最新版本的Tor浏览器，即Tor 8.0，不容易受到这个漏洞的影响，因为为较新版本的Firefox（“Quantum”）设计的NoScript插件基于不同的API格式。 因此，强烈建议Tor 7.x用户立即将其浏览器更新到最新的Tor 8.0版本。 NoScript还通过发布NoScript“Classic”版本5.1.8.7修复了零日漏洞。