Tor Browser 9.0.7版本修复可致用户去匿名化的漏洞
字数 1316 2025-08-18 11:39:30

Tor Browser 9.0.7版本安全漏洞修复教学文档

漏洞概述

Tor Browser 9.0.7版本修复了一个可能导致用户去匿名化的严重安全漏洞。该漏洞影响9.0.7之前的所有版本,在特定情况下,攻击者可以利用此漏洞在"Safest"安全级别上运行JavaScript代码,从而可能通过指纹识别或位置泄露来破坏用户的匿名性。

漏洞影响

  • 影响版本:Tor Browser 9.0.6及更早版本
  • 影响条件:当用户使用"Safest"安全级别浏览时
  • 潜在风险
    • 用户身份可能通过JavaScript被指纹识别
    • 用户真实位置可能被揭露
    • 破坏Tor Browser的隐私浏览承诺

漏洞修复机制

Tor Browser 9.0.7版本采取了以下修复措施:

  1. 强制禁用JavaScript:在"Safest"安全级别下,Tor Browser现在会自动禁用所有JavaScript代码,特别是在非HTTPS网站上
  2. 覆盖NoScript设置:即使之前通过NoScript在某些网站上允许了JavaScript,更新后这些设置也会被覆盖

用户操作指南

升级步骤

  1. 打开Tor Browser
  2. 点击菜单按钮(右上角三条横线图标)
  3. 选择"帮助" > "关于Tor Browser"
  4. 浏览器将自动检查更新并提示安装9.0.7版本
  5. 按照提示完成更新

安全级别设置

  • 推荐设置:始终使用"Safest"安全级别以获得最佳保护
  • 验证设置
    1. 点击地址栏左侧的盾牌图标
    2. 确保已选择"Safest"级别

自定义JavaScript设置(高级用户)

如需在"Safest"级别下启用JavaScript(不推荐):

  1. 在地址栏输入about:config并回车
  2. 搜索javascript.enabled
  3. 确认"Value"栏显示为"false"(默认安全设置)
  4. 若要临时启用:
    • 右键点击该选项
    • 选择"Toggle"
    • 或双击该行切换状态

历史背景

这不是Tor Browser首次修复可能导致去匿名化的漏洞。Tor Project团队过去已修复多个信息泄露漏洞,包括:

  • IP地址泄露漏洞
  • 系统语言泄露漏洞
  • UI地点泄露漏洞

最佳实践建议

  1. 保持更新:始终使用最新版本的Tor Browser
  2. 使用Safest级别:除非有特殊需求,否则应保持"Safest"安全级别
  3. 谨慎启用JavaScript:仅在必要时且信任网站的情况下临时启用
  4. HTTPS优先:尽量访问HTTPS网站,减少信息泄露风险
  5. 定期检查设置:更新后验证安全设置是否符合预期

技术细节

  • 漏洞根源:NoScript扩展在某些情况下未能完全阻止JavaScript执行
  • 修复验证:Tor Project团队将持续验证NoScript新版本的有效性,在此期间采取全局禁用措施
  • 配置项javascript.enabled是控制JavaScript执行的主开关

注意事项

  • 更新后,之前通过NoScript设置的JavaScript白名单将被重置
  • 某些网站功能可能因JavaScript禁用而无法正常工作
  • 在安全性和功能性之间需要做出权衡,Tor Browser默认优先考虑安全性
Tor Browser 9.0.7版本安全漏洞修复教学文档 漏洞概述 Tor Browser 9.0.7版本修复了一个可能导致用户去匿名化的严重安全漏洞。该漏洞影响9.0.7之前的所有版本,在特定情况下,攻击者可以利用此漏洞在"Safest"安全级别上运行JavaScript代码,从而可能通过指纹识别或位置泄露来破坏用户的匿名性。 漏洞影响 影响版本 :Tor Browser 9.0.6及更早版本 影响条件 :当用户使用"Safest"安全级别浏览时 潜在风险 : 用户身份可能通过JavaScript被指纹识别 用户真实位置可能被揭露 破坏Tor Browser的隐私浏览承诺 漏洞修复机制 Tor Browser 9.0.7版本采取了以下修复措施: 强制禁用JavaScript :在"Safest"安全级别下,Tor Browser现在会自动禁用所有JavaScript代码,特别是在非HTTPS网站上 覆盖NoScript设置 :即使之前通过NoScript在某些网站上允许了JavaScript,更新后这些设置也会被覆盖 用户操作指南 升级步骤 打开Tor Browser 点击菜单按钮(右上角三条横线图标) 选择"帮助" > "关于Tor Browser" 浏览器将自动检查更新并提示安装9.0.7版本 按照提示完成更新 安全级别设置 推荐设置 :始终使用"Safest"安全级别以获得最佳保护 验证设置 : 点击地址栏左侧的盾牌图标 确保已选择"Safest"级别 自定义JavaScript设置(高级用户) 如需在"Safest"级别下启用JavaScript(不推荐): 在地址栏输入 about:config 并回车 搜索 javascript.enabled 确认"Value"栏显示为"false"(默认安全设置) 若要临时启用: 右键点击该选项 选择"Toggle" 或双击该行切换状态 历史背景 这不是Tor Browser首次修复可能导致去匿名化的漏洞。Tor Project团队过去已修复多个信息泄露漏洞,包括: IP地址泄露漏洞 系统语言泄露漏洞 UI地点泄露漏洞 最佳实践建议 保持更新 :始终使用最新版本的Tor Browser 使用Safest级别 :除非有特殊需求,否则应保持"Safest"安全级别 谨慎启用JavaScript :仅在必要时且信任网站的情况下临时启用 HTTPS优先 :尽量访问HTTPS网站,减少信息泄露风险 定期检查设置 :更新后验证安全设置是否符合预期 技术细节 漏洞根源 :NoScript扩展在某些情况下未能完全阻止JavaScript执行 修复验证 :Tor Project团队将持续验证NoScript新版本的有效性,在此期间采取全局禁用措施 配置项 : javascript.enabled 是控制JavaScript执行的主开关 注意事项 更新后,之前通过NoScript设置的JavaScript白名单将被重置 某些网站功能可能因JavaScript禁用而无法正常工作 在安全性和功能性之间需要做出权衡,Tor Browser默认优先考虑安全性