Tor Project 24日发布Tor Browser 9.0.7版本，该版本带有一个稳定性补丁，用以修复一个安全漏洞。当使用Tor Browser 9.0.7之前版本时，在某些情况下，攻击者可利用该漏洞在Safest安全级别上运行JavaScript代码。

由于Tor Browser用户依靠其安全特性匿名浏览网络，借由JavaScript暴露用户身份，可被用于指纹识别或揭露他们真实的位置，造成该浏览器的私人浏览承诺无效，Tor Browser承诺私人浏览网页不受跟踪、监视和审查。

更新至最新版本后，用户使用Tor Browser以Safest安全级别浏览网页时，会再次在非HTTPS网站上自动禁用所有的JavaScript代码。

Tor Browser的Safest安全级别

Tor Project团队在推文中表示，“如果用户启用Tor Browser的Safest安全级别浏览网站：此次发布的版本禁用了Javascript。如果用户之前使用NoScript在一些网站上允许Javascript，那么此次更新可能会改变用户的工作流程。”

“在我们确信最近的NoScript版本成功地阻止Javascript运行之前，我们都会采取此项预防措施。”

在Tor Browser 9.0.6版本发布时，用户被建议切换关闭该浏览器的about:config对话框中的javascript.enabled标示，自动为所有用户关闭该标示的NoScript 11.0.17版本更新被认为会修复该漏洞。

但是随后有用户报告说，该扩展更新没有完全缓解该漏洞的影响，再次造成一些用户的信息意外泄露，可能使他们去匿名化。

然而，Tor Browser 9.0.7版本在选择Safest安全级别时对整个浏览器禁用Javascript。用户本来就应该选择Safest安全级别。

启用Safest安全级别时，用户可以按下列步骤恢复以前的行为并允许Javascript：

1.    打开about:config

2.    搜索javascript.enabled

3.    “Value”栏应显示为“false”

4.    右键点击并选择“Toggle”，或双击该行，以禁用Javascript

这并不是第一个被用于揭露Tor Browser用户的漏洞，Tor Project团队过去修复了多个信息泄露漏洞，阻止攻击者绕过该浏览器的匿名特性，发现客户的IP地址、语言或UI地点。

本文源自Bleeping Computer；转载请注明出处。