早在去年10月,Tor浏览器发布了13.0大版本,做出了多个可访问性和用户体验的改进。近期,在3月19日与3月22日,Tor项目连续发布Tor浏览器的两个小版本紧急更新,修复了Firefox多个重大安全漏洞。”暗网下/AWX“提醒大家尽快升级最新版本的Tor浏览器。
Tor浏览器 13.0.12 版本
3月19日,Tor项目发布Tor浏览器 13.0.12 版本,该版本一方面取消了.onion网站的自动优先级排序,另一方面完成了Firefox的重要安全更新。
Tor项目表示最近收到了通知,称有关自动”洋葱位置“(Onion-Location)重定向存在潜在的指纹识别漏洞。为了谨慎起见,暂时从Tor浏览器中删除了“已知.onion网站时优先处理”的选项。Tor团队正在进一步研究这个问题,一旦有更多研究成果和建议将及时提供更新。
根据Tor官网的介绍:
浏览器指纹识别
指纹识别是收集有关设备或服务的信息,以便对其身份或特征进行推测的过程。独特的行为或响应可用于识别所分析的设备或服务。Tor浏览器可防止指纹识别。
根据Mozilla基金会的安全公告,Tor浏览器 13.0.12 版本(基于Firefox ESR 115.9)中修复的安全漏洞如下:
- CVE-2024-0743:NSS TLS 方法崩溃
- CVE-2024-2605:Windows 错误报告器可用作沙箱逃逸向量
- CVE-2024-2607:JIT 代码无法保存 Armv7-A 上的返回寄存器
- CVE-2024-2608:整数溢出可能导致越界写入
- CVE-2024-2616:改进 ICU 内存不足情况的处理
- CVE-2023-5388:NSS 容易受到针对 RSA 解密的定时攻击
- CVE-2024-2610:html 和 body 标签处理不当导致 CSP 随机数泄漏
- CVE-2024-2611:点击劫持漏洞可能导致用户意外授予权限
- CVE-2024-2612:自引用对象可能会导致释放后使用
- CVE-2024-2614:Firefox 124、Firefox ESR 115.9 和 Thunderbird 115.9 中修复的内存安全错误
Tor浏览器 13.0.13 版本
3月22日,Tor项目发布Tor浏览器 13.0.13 版本,该版本是一个计划之外的紧急更新版本,其中包含针对桌面平台Firefox的重要安全更新。安卓版本的Tor浏览器不受影响。
根据Mozilla基金会的安全公告,Tor浏览器 13.0.13 版本(基于Firefox ESR 115.9.1)中修复的安全漏洞如下:
CVE-2024-29944:通过事件处理程序执行特权 JavaScript (攻击者能够将事件处理程序注入特权对象,从而允许在父进程中执行任意 JavaScript。注意:此漏洞仅影响桌面版 Firefox,不影响移动版 Firefox。)
如果您已经安装了Tor浏览器,请尽快通过Tor浏览器本身的“检查更新”按钮及时进行更新。