ExpressVPN已暂停在其Windows应用程序上使用其拆分隧道功能,原因是一个错误无法正确将DNS请求定向到其服务器。该漏洞最初是由CNET的Attila Tomaschek发现的,他在Windows电脑上观察到该问题后联系了ExpressVPN。
ExpressVPN在其博客上发布了一份声明,披露了这一问题,并表示,尽管该问题据信涉及Windows版本12的单一应用平台上不到1%的用户,但ExpressVPN推出了更新,完全禁用了该平台上的拆分隧道,以将客户面临的潜在持续风险降至最低。在工程师调查和解决问题期间,该功能将保持停用状态。
拆分隧道是一种功能,允许用户挑选他们希望通过VPN路由的应用程序和程序,以及他们希望通过自己的本地网络保持路由的应用程序和程序。
通常,当用户通过拆分隧道连接到ExpressVPN时,他们对所选应用程序的DNS请求会通过VPN的服务器通过加密连接发送。然而,由于这个漏洞,它“允许其中一些请求转到第三方服务器,在大多数情况下,第三方服务器将是用户的互联网服务提供商。”
据信,该漏洞始于2022年5月的12.23.1版,一直持续到今年2月的12.72.0版。
值得庆幸的是,ExpressVPN表示,该漏洞很可能只影响了“1%的单一应用程序平台上的用户,Windows版本12。”它进一步补充说,“我们只能在使用特定的拆分隧道模式‘只允许选定的应用程序使用VPN’时复制该问题,即使在那时,我们也发现它只在某些情况下发生。在我们的测试中,根本没有激活拆分隧道的用户,或者选择了其他模式(不允许选定的应用使用VPN)的用户,他们的DNS请求得到了正确的处理。其他VPN保护,如加密,都没有受到影响。
目前,拆分隧道功能已被禁用,并将一直如此,直到ExpressVPN发布官方修复程序。如果您希望继续使用拆分隧道,ExpressVPN的Windows应用程序的版本10仍然可用,并且工作正常。
有话要说...