本周发布了一个新版本的开源 Tor 浏览器，其中包含针对多个漏洞的补丁，其中一个可能允许恶意网站通过识别用户设备上运行的应用程序来跨浏览器跟踪用户。

该漏洞是一种协议泛滥攻击，也称为方案泛滥，它依赖于浏览器的自定义协议处理程序来探测台式计算机上已安装的应用程序、配置文件用户，并跨浏览器（如 Chrome、Firefox、Safari 和 Tor）跟踪它们。

Scheme flood 使用自定义 URL 方案作为攻击向量（也称为深度链接，该功能允许应用程序注册自己的方案供其他应用程序打开它们）并允许攻击者发现用户已安装的应用程序。攻击通常需要几秒钟，并且可以跨平台在 Windows、Mac 和 Linux 上运行。

“根据设备上安装的应用程序，网站可能会出于更险恶的目的识别个人。例如，一个网站可能能够根据他们安装的应用程序和关联的匿名浏览历史来检测互联网上的政府或军事官员，” FingerpringJS 的一份咨询报告称。

[相关： 谷歌发布基于浏览器的 Spectre 攻击的 PoC  ]

现在作为版本 10.0.18 向用户推出，最新的 Tor 浏览器版本可以防止这种攻击。

新的浏览器版本在所有平台上将 Tor更新为 0.4.5.9 版，并包含此迭代中的所有安全修复和增强功能，包括几个主要的安全修复。

浏览器中最重要的变化之一是弃用了版本 2 的洋葱服务。仅暂时宣布，弃用将在今年晚些时候进行，并将要求所有洋葱服务运营商迁移到版本 3。

该转换最初于 2020 年 7 月宣布，预计将于 2021 年 7 月 15 日完成，届时对 v2 洋葱服务的支持将从代码库中完全删除。