漏洞資訊 Vulnerability Information

即刻修補漏洞 降低危害風險
漏洞資訊 Vulnerability Information
2024/02/29

ExpressVPN 漏洞 暴露 DNS 請求

  ExpressVPN 解決了分割隧道功能中的一個錯誤,該錯誤將使用者存取的網域暴露給配置的 DNS 伺服器,公司選擇暫時刪除 Windows 應用程式中的該功能來解決該問題,該功能將在公司修復後的後續版本中啟用。   問題自 2022 年 5 月 19 日起在 ExpressVPN Windows 版本 12.23.1 – 12.72.0 中引入,並隨著 Windows 版本 12 應用程式的發布而修復,分割隧道功能可讓使用者選擇性地路由一些網路流量進出 VPN 隧道,為同時需要本地存取和安全遠端存取的使用者提供靈活性,此功能中的一個錯誤導致用戶的 DNS 請求沒有像應有的那樣定向到 ExpressVPN 的基礎設施,而是定向到用戶的互聯網服務提供者 (ISP)。 通常,所有 DNS 請求都是透過 ExpressVPN 的無日誌 DNS 伺服器完成,以防止 ISP 和其他組織追蹤使用者存取的網域,然而,這個錯誤導致一些 DNS 查詢被傳送到電腦上配置的 DNS 伺服器(通常是用戶 ISP 的伺服器),從而允許伺服器追蹤使用者的瀏覽習慣。   企業發布的通報指出,此問題據信影響單一應用程式平台(Windows 版本 12)上不到 1% 的用戶,企業還宣布對該錯誤進行調查。   Windows 上 ExpressVPN 版本 12.23.1 至 12.72.0 的使用者應將其用戶端升級至最新版本 12.73.0,最新版本刪除了分割隧道功能。然而,ExpressVPN 表示,當錯誤修復後,他們將在未來版本中重新引入它,如果無法升級,停用分割隧道應該足以防止 DNS 請求洩漏,因為該錯誤無法在任何其他模式下複製 !   參考資料: https://cybersafe.news/expressvpn-flaw-exposes-dns-requests/

TOP