匿名浏览器出漏洞　Mac 、 Linux 版 Tor Browser 恐泄用户 IP

讲到浏览网页要保持隐私、可匿名、隐藏 IP 、防止监听兼翻墙来浏览网站，相信不少人会想到使用"洋葱路由（ The Orion Router, Tor）"技术的 Tor Browser 。不过这个以保密见称的浏览器，刚刚就被发现其 Mac 版和 Linux 版出现漏洞，可能会泄露用户的 IP 。

Tor Browser 是一个针对隐私和匿名性的改装版 Firefox 浏览器，它采用一种叫 "洋葱路由（ The Orion Router, Tor）"的匿名网络技术，将发信者（浏览者）所发出的讯息，像洋葱一样一层一层的加密起来，并经过一系列被称为洋葱路由器的网络节点传送。信息在经过每一个洋葱路由器时都会将封包最外层解密，直到目的地才能解出最后的信息。正因为这个机制，每一个网络节点都只能够知道上一个节点的位置，而不会知道整个传送路径和发信者的地址。

由于它停用了 Javascript 、Flash 、 Java 等插件和脚本，又预设开启了 HTTPS Everywhere 和 NoScript 等扩充套件，以防止别人取得用户资讯，所以被视为非常安全的浏览器。

Tor Browser 是著名的匿名浏览器

不过今次的漏洞就可以让有心人透过引导用户点击经过加工的" file:// "档案网址，来绕过 Tor Browser ，令 OS 直接跟远端的主机连接，从而泄露本身的 IP 地址。据知今次漏洞是源于 Firefox 在处理" file:// "档案网址时的臭虫。今次的漏洞只波及 Mac 版和 Linux 版的 7.0.8 版本，Windows 版、匿名 OS " Tails "和沙箱化的 Tor Browser 都不受影响，可以继续使用。

今次漏洞是由意大利的保安企业 We Are Segment 在 10 月 26 日报告， Tor Browser Project 随即在 Mozilla 的协助下于翌日推出舒缓方案，并于 10 月 31 日对已知的问题进行修正，在受影响平台推出 Tor Browser 7.0.9 。不过 Tor Browser Project 方面表示这只是缓和处理而已，这次修正版已知会导致浏览器不处理在地址列输入的" file:// "档案连结，他们建议用户打开一个新 Tab 后将有关档案抓取到该 Tab 来打开档案。

下载最新版本 Tor Browser：按此