本周發(fā)布了一個新版本的開源 Tor 瀏覽器���,其中包含針對多個漏洞的補(bǔ)丁��,其中一個可能允許惡意網(wǎng)站通過識別用戶設(shè)備上運(yùn)行的應(yīng)用程序來跨瀏覽器跟蹤用戶����。
該漏洞是一種協(xié)議泛濫攻擊�,也稱為方案泛濫,它依賴于瀏覽器的自定義協(xié)議處理程序來探測臺式計(jì)算機(jī)上已安裝的應(yīng)用程序�、配置文件用戶,并跨瀏覽器(如 Chrome����、Firefox、Safari 和 Tor)跟蹤它們���。
Scheme flood 使用自定義 URL 方案作為攻擊向量(也稱為深度鏈接�����,該功能允許應(yīng)用程序注冊自己的方案供其他應(yīng)用程序打開它們)并允許攻擊者發(fā)現(xiàn)用戶已安裝的應(yīng)用程序�����。攻擊通常需要幾秒鐘��,并且可以跨平臺在 Windows����、Mac 和 Linux 上運(yùn)行�����。
“根據(jù)設(shè)備上安裝的應(yīng)用程序�,網(wǎng)站可能會出于更險惡的目的識別個人。例如����,一個網(wǎng)站可能能夠根據(jù)他們安裝的應(yīng)用程序和關(guān)聯(lián)的匿名瀏覽歷史來檢測互聯(lián)網(wǎng)上的政府或軍事官員,” FingerpringJS 的一份咨詢報告稱�����。
[相關(guān): 谷歌發(fā)布基于瀏覽器的 Spectre 攻擊的 PoC ]
現(xiàn)在作為版本 10.0.18 向用戶推出�,最新的 Tor 瀏覽器版本可以防止這種攻擊。
新的瀏覽器版本在所有平臺上將 Tor更新為 0.4.5.9 版,并包含此迭代中的所有安全修復(fù)和增強(qiáng)功能�,包括幾個主要的安全修復(fù)。
瀏覽器中最重要的變化之一是棄用了版本 2 的洋蔥服務(wù)�����。僅暫時宣布�,棄用將在今年晚些時候進(jìn)行,并將要求所有洋蔥服務(wù)運(yùn)營商遷移到版本 3��。
該轉(zhuǎn)換最初于 2020 年 7 月宣布�,預(yù)計(jì)將于 2021 年 7 月 15 日完成,屆時對 v2 洋蔥服務(wù)的支持將從代碼庫中完全刪除��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
