Tor 称其遭 Firefox 零日攻击，匿名性可能完好无损

Tails 操作系统和 Tor 浏览器的用户已成为最初在 Firefox 中发现的严重零日漏洞的最新目标。

该漏洞编号为 CVE-2024-9680，涉及 Firefox 动画时间线子系统中一个危险的“释放后使用”错误，允许攻击者在易受攻击的系统上执行任意代码。

Tails 6.8.1是该注重隐私的操作系统的紧急版本，Tor Browser 13.5.7都解决了此漏洞。

该问题首先由 ESET 的安全研究员 Damien Schaeffer 发现， Mozilla于上周晚些时候证实了该漏洞正在被积极利用。

Tails 在发布公告中提到：“Mozilla 意识到这种攻击正在针对 Tor 浏览器用户进行。”

该漏洞尤其令依赖这些平台进行匿名浏览的 Tor 浏览器和 Tails 用户担忧。

Mozilla 的公告解释称，该漏洞源于内存管理不当，在处理动画时间线期间释放的内存可以再次访问，从而为攻击者注入恶意代码创造了可能性。

Schaeffer 的报告被迅速转发给 Mozilla，后者迅速发布了修复程序。

Mozilla 的 Tom Ritter 后来透露，该补丁是在报告发布后25 小时内开发的，反映出他们对浏览器安全的高度重视以及对关键发现的及时响应。

虽然 Tor 浏览器和 Tails 为注重隐私的用户提供了多层保护，但这种漏洞的性质令人担忧。

Mozilla 表示，此漏洞可以被用来完全控制 Tor 浏览器，而不必让用户匿名化——对于那些依赖 Tails 保护隐私的人来说，这是一个重要的区别。

Tails 团队在 6.8.1 版发布说明中向用户保证：“利用此漏洞，攻击者可以控制 Tor 浏览器，但可能无法在 Tails 中解除您的匿名身份。”

然而，这仍代表着严重风险，因为控制浏览器可能会进一步利用漏洞。

Tor 浏览器基于 Firefox ESR 构建，立即受到与其主流版本相同的漏洞的影响。

该团队迅速发布了 13.5.7 版本，通过整合 Mozilla 的补丁来缓解此问题。

与此同时，Tails 在其自己的紧急版本中包含了此更新，以保护依赖其内置 Tor 浏览器通过洋葱路由器网络进行匿名浏览的用户。

这两项更新均于 2024 年 10 月 10 日发布，并敦促用户立即更新，以免成为野外主动利用的受害者。

Tails 是一款失忆操作系统，专门用于保护隐私和匿名性，它通过 Tor 网络路由互联网流量，不会在主机系统上留下任何用户活动的痕迹。

由于其专注于保护用户隐私，因此发现此漏洞引发了人们对那些在敏感环境中依赖 Tails 保护隐私的人对安全的极大担忧。

原文始发于微信公众号（网络研究观）：Tor 称其遭 Firefox 零日攻击，匿名性可能完好无损