日前,安全人员发现,一个新JavaScript代码能够泄露用户访问服务器的公共及私有IP地址。这些请求并不会被诸如Ghostery或Adblock等隐私及广告插件所阻止。
这是为WebTRC(对等通信协议,允许简单的浏览器语音及视频通信)发出的一个叫做STUN(Nat会话遍历实用工具)IP地址请求。请求在XML/HTTP请求过程之外,在开发控制台甚至看不到。如果一名广告商拥有通配符域的STUN服务器,这些请求将允许进行在线跟踪。它的目的是P2P媒体聊天,但应该被设置为false并且当需要这个功能时,用户会收到一个启动提示。
这个漏洞实际上会披露使用VPN、代理及TOR的用户信息。这是一个非常重要的安全漏洞。它甚至可能会披露某些IP范围(虚拟盒使用 192.168.56.1)内的VM类型。TOR浏览器将此功能禁用,并且TOR项目建议关闭JavaScript以避免引发更多的此类漏洞。
目前, Firefox以及Chrome浏览器通过实现VebRTC会触发该漏洞。到目前为止,仅可在Firefox禁用,Chrome正在提供这个扩展。
要禁用WebRTC功能,需要按照以下步骤完成:
在新标签页中输入“about:config”:
找到“media.peerconnection.enabled”并将其设置为false:
其他方案包括更换浏览器(如IE或Safari)或者禁用JavaScript。可通过安装诸如NoScript的扩展禁用JavaScript。
本文始发于微信公众号(关注安全技术):Chrome、Firefox爆严重漏洞 将泄露用户IP等隐私
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论