最近，Tor项目先后发布Tor浏览器、Tails操作系统的最新版本更新，其中，Tor 浏览器 14.0.4包含 Firefox 的重要安全更新，Tails 6.11 修复了外部审计期间发现的几个严重的安全漏洞。此外，下一代Tor客户端Arti也发布了1.3.2版本，包含了洋葱服务、RPC、中继等功能的开发更新。

Tor浏览器14.0.4新版本发布

Tor浏览器14.0.4现在已经可以从Tor浏览器下载页面以及Tor官方网站的分发目录中获取。

此版本包含 Firefox 的最新的重要安全更新。

完整更新日志

Tor浏览器14.0.3以来的完整更新日志如下：

• 所有平台
  • 已将 NoScript 更新至 12.1.1
  • Bug tor-browser#42125：锁定 RFP 第 2 部分
  • Bug tor-browser#43176：控制台中的 noscript-marker CSP 警告
  • Bug tor-browser#43282：无法单击/点击/选择 WebGL 占位符附近的任何内容
  • Bug tor-browser#43296：NoScript 阻止的视频内容占位符未居中
  • Bug tor-browser#43338：自定义缩放 + “仅缩放文本”破坏了 pdfjs
  • Bug tor-browser#43343：删除 YEC 2024
  • Bug tor-browser#43352：NoScript 更新期间记录的对多播 IPv6 ff00:::443 的连接尝试失败
  • Bug tor-browser#43366：请勿在输入中使用系统强调色
  • Bug tor-browser#43382：将 Tor 浏览器稳定版本重新调整至 128.6.0esr
  • Bug tor-browser#43384：从 Firefox 134 反向移植安全修复
  • Bug tor-browser-build#41333：更新 Snowflake 内置桥中的 STUN 服务器
  • Bug tor-browser-build#41338：添加 CDN77 meek 桥
• Windows + macOS + Linux
  • Firefox 已更新至 128.6.0esr
  • Bug tor-browser#43269：NoScript 本地化问题
• Linux
  • Bug tor-browser-build#41311：AppArmor 配置文件在 Debian 稳定版上失败
  • Bug tor-browser-build#41313：应用程序打开时显示等待光标
• 安卓
  • 已将 GeckoView 更新至 128.6.0esr
• 构建系统
  • 所有平台
    • 已更新至 1.22.10
    • Bug tor-browser-build#41321：更新 PieroV 的过期密钥
    • Bug tor-browser-build#41340：使用 Mullvad 的新 GitHub 工作流端点更新 kick_devmole_build 脚本
  • macOS
    • Bug tor-browser-build#41325：由于 /Applications 符号链接，较新版本的 7z 无法提取我们的 dmg 文件
    • Bug tor-browser-build#41327：当 make_full_update.sh 无法在 dmg2mar 中生成 mar 文件时，打印更多日志
  • 安卓
    • Bug tor-browser#42690：将生成 APK 的命令添加到 tools/geckoview

Tails操作系统6.11新版本修复关键安全漏洞

关键安全修复

此次修复的漏洞是在Radically Open Security的外部安全审计中发现的，并负责任地披露出详情。Tor项目称，到目前为止，还没有发现这个漏洞被用于攻击使用Tails系统的用户。

Tor项目表示，只有已经利用另一个漏洞控制Tails中应用程序的高水平网络攻击者才能利用这些漏洞。但是如果用户想格外小心，并且自1月9日起大量使用Tails而没有升级，建议用户进行手动升级而不是自动升级。

• 永久阻止攻击者安装恶意软件。（#20701）在 Tails 6.10 或更早版本中，已经控制了 Tails 中应用程序的攻击者可以利用Tails Upgrader中的漏洞安装恶意升级并永久控制您的 Tails。手动升级将会删除此类恶意软件。
• 防止攻击者监视网络活动。（#20709和#20702）在 Tails 6.10 或更早版本中，已经控制了 Tails 应用程序的攻击者可以利用其他应用程序中的漏洞，从而导致匿名化或浏览活动被监控：
  • 在洋葱网络中，获取有关 Tor 网络的信息并关闭它们。
  • 在不安全的浏览器中，无需通过 Tor 即可连接到互联网。
  • 在Tor 浏览器中，监控您的浏览活动。
  • 在Tor 连接中，重新配置或阻止与 Tor 网络的连接。
• 防止攻击者更改持久存储设置。（#20710）

新功能

检测分区错误

有时，Tails USB上的分区会损坏。这会导致持久存储或升级过程中出现错误。分区可能会因硬件损坏或伪造、软件错误或在 Tails 运行时物理移除 USB 而损坏。

Tails现在可以更早地警告此类分区错误。例如，如果在没有持久存储的情况下检测到分区错误，Tails建议您重新安装或使用新的USB存储盘。

变更和更新

• 将Tor 浏览器更新至14.0.4。
• 将Thunderbird更新至128.5.0esr。
• 删除Electrum中对硬件钱包的支持。Trezor 钱包在 Debian 12 (Bookworm) 中停止工作，Tails 6.0 或更高版本也是如此。
• 禁止GNOME 文本编辑器在最后一个文件上重新打开。（#20704）
• 从桌面上 Tor 状态图标的菜单添加到Tor 连接助手的链接。
• 使Tails团队更容易在WhisperBack报告中找到有用的信息。

Tails操作系统本次更新的更多详情，可以阅读Tails的更新日志。

Arti新版本1.3.2发布

Arti是Tor官方正在进行的重大项目，旨在用Rust创建下一代Tor客户端。现在Tor项目已经正式宣布了最新版本Arti1.3.2。

此版本继续对RPC进行开发，并包括中继支持和服务端洋葱服务抵抗拒绝服务的准备工作。

有关Tor项目所做工作的完整详细信息，以及许多较小和不太明显的变化的信息，可以参阅CHANGELOG。

有关使用Arti的更多信息，可以参阅Tor项目的顶级README和arti二进制文件的文档。