Tor浏览器连续发布两个小版本紧急更新，修复多个重大安全漏洞

早在去年10月，Tor浏览器发布了13.0大版本，做出了多个可访问性和用户体验的改进。近期，在3月19日与3月22日，Tor项目连续发布Tor浏览器的两个小版本紧急更新，修复了Firefox多个重大安全漏洞。”暗网下/AWX“提醒大家尽快升级最新版本的Tor浏览器。

Tor浏览器 13.0.12 版本

3月19日，Tor项目发布Tor浏览器 13.0.12 版本，该版本一方面取消了.onion网站的自动优先级排序，另一方面完成了Firefox的重要安全更新。

Tor项目表示最近收到了通知，称有关自动”洋葱位置“（Onion-Location）重定向存在潜在的指纹识别漏洞。为了谨慎起见，暂时从Tor浏览器中删除了“已知.onion网站时优先处理”的选项。Tor团队正在进一步研究这个问题，一旦有更多研究成果和建议将及时提供更新。

根据Tor官网的介绍：

浏览器指纹识别
指纹识别是收集有关设备或服务的信息，以便对其身份或特征进行推测的过程。独特的行为或响应可用于识别所分析的设备或服务。Tor浏览器可防止指纹识别。

根据Mozilla基金会的安全公告，Tor浏览器 13.0.12 版本（基于Firefox ESR 115.9）中修复的安全漏洞如下：

• CVE-2024-0743：NSS TLS 方法崩溃
• CVE-2024-2605：Windows 错误报告器可用作沙箱逃逸向量
• CVE-2024-2607：JIT 代码无法保存 Armv7-A 上的返回寄存器
• CVE-2024-2608：整数溢出可能导致越界写入
• CVE-2024-2616：改进 ICU 内存不足情况的处理
• CVE-2023-5388：NSS 容易受到针对 RSA 解密的定时攻击
• CVE-2024-2610：html 和 body 标签处理不当导致 CSP 随机数泄漏
• CVE-2024-2611：点击劫持漏洞可能导致用户意外授予权限
• CVE-2024-2612：自引用对象可能会导致释放后使用
• CVE-2024-2614：Firefox 124、Firefox ESR 115.9 和 Thunderbird 115.9 中修复的内存安全错误

Tor浏览器 13.0.13 版本

3月22日，Tor项目发布Tor浏览器 13.0.13 版本，该版本是一个计划之外的紧急更新版本，其中包含针对桌面平台Firefox的重要安全更新。安卓版本的Tor浏览器不受影响。

根据Mozilla基金会的安全公告，Tor浏览器 13.0.13 版本（基于Firefox ESR 115.9.1）中修复的安全漏洞如下：

CVE-2024-29944：通过事件处理程序执行特权 JavaScript （攻击者能够将事件处理程序注入特权对象，从而允许在父进程中执行任意 JavaScript。注意：此漏洞仅影响桌面版 Firefox，不影响移动版 Firefox。）

如果您已经安装了Tor浏览器，请尽快通过Tor浏览器本身的“检查更新”按钮及时进行更新。