E安全11月6日讯 Mac和Linux版本的洋葱浏览器最近新出了一个临时补丁，该补丁修复了一个重要漏洞。当用户访问一些特定网址的时候，该漏洞会泄露用户的真实IP地址。

洋葱官方已发布TorMoil漏洞临时补丁

漏洞发现者将漏洞命名为TorMoil，当用户点击 file:// 开头的链接时就会触发这一漏洞。据安全公司We Are Segment的官方爆料称，当Mac和Linux版本的洋葱浏览器试图打开这类链接时，操作系统可能绕开洋葱浏览器，直接将访客链接到一个远程托管主机。该公司已经把漏洞提交给了洋葱浏览器的程序猿。

上周五，洋葱浏览器项目的成员临时向用户推了临时补丁。但在最终补丁出来前，用户即便更新浏览器版本后，打开file://开头的链接，或许还是会出现异常。Windows版本的浏览器暂时还不受影响。

洋葱浏览器官方声明称，他们的补丁只是阻止泄露的权宜之计，由于浏览器无法向预计的那样打开用户输入的file:..链接。特别是在URL栏目输入file://后点击链接结果无效。在新的标签页或新窗口中打开也一样无效。对此的补救措施是将链接拖拽至URL栏目或标签页中。究其原因，问题应该出在编号24136的漏洞上。

We Are Segment CEO Filippo Cavallarin在26号秘密提交了漏洞。次日，洋葱浏览器的程序员与Mozilla程序员就一同推出了一个补丁，但补丁效果不是百分百。所以上周二，他们又推出了一个更为完整的补丁。但官博并未解释为何到周五都未推出适用于Mac和Linux用户7.0.9洋葱浏览器的补丁。洋葱浏览器基于火狐浏览器。这个IP漏洞源于火狐的一个漏洞。

洋葱浏览器官方警告称Mac和Linux上Alpha版本的洋葱浏览器尚未收到补丁。他们打算周一再向这些用户推补丁。同时他们提醒这些用户应该将洋葱浏览器升级至稳定版本。

目前尚无证据表明此漏洞在互联网或暗网被广泛利用以获取用户IP地址。当然，缺乏证据不代表漏洞没有被执法部门或私人侦探等利用。目前漏洞已经曝光，所以很容易被人利用。在Mac或Linux上使用洋葱浏览器的用户需尽快升级，并做好IP地址可能已经被泄露的准备。

洋葱浏览器是一款免费的浏览器，有着极高的私密度。使用该浏览器的用户可以减少很多威胁，比如那些不想被竞争对手收集或贩卖个人数据的用户，以及那些想躲避审查和监控的用户。

值得一提的是，洋葱浏览器的漏洞在市场上售价相当可观，最近零日漏洞中介Zerodium就以一百万美金悬赏其漏洞。

而洋葱团队并未停止对软件的改进，最近该团队又推出了Tor 0.3.2.1-alpha版本，该版本包括对下一代洋葱服务的支持。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1364580866.shtml

▼点击“阅读原文” 查看更多精彩内容