Tor浏览器零日漏洞在线曝光，现在修补

在一条推文中，Zerodium共享了一个零天漏洞，该漏洞存在于NoScript浏览器插件中，该插件预装在Tor软件中捆绑的Mozilla Firefox中。

NoScript是一个免费的浏览器扩展，默认情况下会阻止所有网页上的恶意JavaScript、Java、Flash和其他潜在危险内容，不过用户可以将他们信任的网站列入白名单。
据Zerodium称，Tor Browser 7.5.6中包含的NoScript“经典”版本5.0.4至5.1.8.6（启用了“最安全”的安全级别）可以通过将其内容类型头更改为JSON格式绕过以运行任何JavaScript文件。

换句话说，网站可以利用此漏洞在受害者的Tor浏览器上执行恶意JavaScript，以有效识别其真实IP地址。

需要注意的是，Tor browser的最新版本，即Tor 8.0，不易受到此漏洞的攻击，因为为新版Firefox（Quantum）设计的NoScript插件基于不同的API格式。

因此，Tor 7。强烈建议x用户立即将其浏览器更新至最新的Tor 8.0版本。

NoScript还修复了NoScript“Classic”5.1.8.7版的零日缺陷。