修正了我们 Windows 应用程式中的可能 DNS 漏洞

2022年6月10日 应用程式

我们发现，当使用分流隧道时，我们 Windows 应用程式的防火墙规则未能正确阻止 VPN 隧道外的 DNS 请求。不过，程式并不会真正利用这个漏洞或造成任何泄漏。

当 Mullvad 应用程式连接时，DNS 须仅在 VPN 隧道内部发送，并指向 VPN 伺服器上的解决器。所有其它目标应该被阻止，包括隧道内部和外部。当然，若使用自订 DNS，则只有配置的自订解决器是被允许的。然而，我们的分流隧道驱动程式中存在防火墙规则的问题，导致这些安全保证未能完全维持。如果你将任何应用程式排除于 VPN 隧道之外，分流隧道驱动程式将被启动，这样便能够访问隧道外的任何 DNS 伺服器。

我们不将此视为重大漏洞。我们将隧道中的 DNS 解决器配置为系统的预设解决器，因此 Windows 总是会正确地使用该解决器。只有在某个程式明确试图访问隧道外的其他解决器时，这才会造成泄漏。而隧道内的不正确 DNS 伺服器仍会被正确地阻止。

唯一受影响的应用程式版本是 20221 及之前的测试版。该漏洞已在 20222beta1 中修复。如果你关心这个漏洞，建议升级到该测试版。这个修复将很快纳入稳定版本中。此漏洞仅影响 Windows。

如何重现

如果你在本地网路中有一个 DNS 解决器，例如在你的路由器上，IP 为 19216811，并且你的应用程式已连接且未将任何应用程序排除在隧道之外，那么以下命令将无法执行，会超时而无法访问 DNS 伺服器：

nslookup mullvadnet 19216811

但是，如果你在分流隧道设置中将任何程式排除于隧道外，然后重新执行上述命令，将会看到现在可以成功查询。