警告：严重的Tor浏览器漏洞泄露用户的真实IP地址，现在更新

如果你在Twitter上关注我们，你一定知道，从昨天开始，我们一直在警告Mac和Linux用户Tor匿名浏览器存在一个严重漏洞，当他们访问某些类型的网页时，可能会将他们的真实IP地址泄露给潜在的攻击者。

该漏洞由意大利安全研究人员菲利波·卡瓦拉林（Filippo Cavallarin）发现，存在于FireFox中，最终也会影响Tor浏览器，因为允许用户匿名上网的隐私感知服务以FireFox为核心。

被研究人员称为煎熬油，该漏洞影响Mac OS和Linux的Tor浏览器，而不是Windows，但考虑到Tor用户的安全和隐私，有关该漏洞的详细信息尚未公开。
周四（10月26日），安全公司We Are Segment的首席执行官卡瓦拉林（Cavallarin）私下向Tor开发者报告了该安全漏洞，Tor开发者已经发布了Tor 7.0.8版的紧急更新。

根据We Are Segment周二发布的一篇短文，TorMoil漏洞是由Firefox“处理文件：//URL”中的一个问题造成的

重要提示：Tor Browser 7.0.9发布（Linux/MacOS用户）-修复了泄露IP地址的关键安全漏洞https://t.co/gITj8F7DnW

《黑客新闻》（The Hacker News）2017年11月3日

当用户点击以file://地址开头的链接，而不是更常见的https://和https://地址时，就会触发TorMoil。

“由于Firefox在处理file://URL时存在漏洞，这两个系统上的用户都有可能泄露他们的IP地址，”博文写道。“一旦受影响的用户[运行macOS或Linux系统]导航到精心编制的网页，操作系统就可以绕过Tor浏览器直接连接到远程主机”。

Tor项目目前发布了一个临时解决方案，以防止真正的IP泄漏。

因此，macOS和Linux用户可能会发现Tor匿名浏览器的更新版本在导航到file://地址时运行不正常，直到永久补丁可用。

Tor项目在周五发布的一篇博文中说：“我们部署的修复程序只是一个阻止泄漏的解决方案。因此，在浏览器中导航文件：//URL可能不再像预期的那样工作。尤其是在URL栏中输入文件：//URL并点击结果链接，就会被破坏”。

“在新选项卡或新窗口中打开它们也不起作用。解决这些问题的方法是将链接拖动到URL栏或选项卡上。我们在bug 24136中跟踪这一后续回归”。

根据Tor项目，Windows版本的Tor、Tails和正在进行alpha测试的沙盒Tor浏览器的用户均不受影响。

Tor项目还表示，没有证据表明TorMoil漏洞已被黑客积极利用，以获取Tor用户的IP地址。

然而，由于市场上对Tor zero day漏洞利用的需求很高，Zerodium准备为其漏洞利用向任何人支付100万美元，缺乏证据不能证明该漏洞未被民族国家攻击者和熟练黑客利用。

为了保护用户的隐私，Tor项目最近宣布发布Tor 0.3.2.1-alpha，其中包括对下一代onion服务的支持，并将新的尖端加密和整体认证的改进集成到其web服务中。