Tails OS用户建议在修补关键Firefox漏洞之前不要使用Tor浏览器

Tails项目的维护人员发出警告，与操作系统捆绑在一起的Tor浏览器用于访问或输入敏感信息是不安全的。

该项目在本周发布的一份公告中表示：“如果您使用Tor浏览器获取敏感信息（密码、私人消息、个人信息等），我们建议您在5.1版本（5月31日）发布之前停止使用Tails”。

Tails是健忘症隐姓埋名直播系统（Amnesic Incognito Live System）的缩写，是一个基于Debian的安全Linux发行版，旨在通过Tor网络连接到internet，保护隐私和匿名性。

2022年5月20日，Mozilla发布此警报之际，其Firefox浏览器中的两个关键零日缺陷已得到修复，其修改版本是Tor浏览器的基础。

这两个漏洞被追踪为CVE-2022-1802和CVE-2022-1529，被称为原型污染，可以将其武器化，以便在运行Firefox、Firefox ESR、Firefox for Android和Thunderbird等易受攻击版本的设备上执行JavaScript代码。

“例如，在您访问恶意网站后，控制该网站的攻击者可能会访问您在同一Tails会话期间随后发送给其他网站的密码或其他敏感信息，”Tails公告写道。

Manfred Paul 上周在温哥华举行的第 15 届 Pwn2Own 黑客竞赛中展示了这些漏洞，研究人员因此获得了 100,000 美元的奖金。

然而，启用了“最安全”安全级别的Tor浏览器以及操作系统中的Thunderbird电子邮件客户端不会受到这些缺陷的影响，因为JavaScript在这两种情况下都被禁用。

此外，这些弱点并没有破坏Tor浏览器的匿名性和加密保护，这意味着不处理敏感信息的尾部用户可以继续使用web浏览器。

开发人员表示：“该漏洞将在5月31日发布的Tails 5.1中修复，但我们的团队没有能力提前发布紧急版本”。