Tor 浏览器用户应尽快更新其软件。研究人员最近发现了一个严重缺陷,允许任何扩展被恶意扩展替换。不过,Tor 默认至少有一个扩展名,即 NoScript。显然,这样的攻击会破坏人们所追求的匿名性。
该缺陷是由于安全证书验证不力造成的,该缺陷已于上周五在 6.0.5 版本中得到纠正。理论上,Tor 始终使用所谓的“证书固定”功能来确保提供给它的证书与相关站点相对应。但有一个例外:Mozilla 网站。对于这些,浏览器使用一种很容易规避的所谓“静态”验证方法。
不容易做到
因此,拥有“addon.mozilla.org”域的虚假证书的攻击者可以拦截扩展更新请求并插入自己的代码。拥有这样的虚假证书不是任何人都能拥有的,但对于政府行为者来说却完全有可能。然而,这些正是 Tor 用户非常担心的。
这个缺陷也存在于 Firefox 浏览器中,这很正常,因为 Tor 是基于这个开源软件的。它已填充测试版本(Nightly Build),但尚未填充稳定版本。 Mozilla 基金会宣布将于明天(即 9 月 20 日星期二)发布更新。
