知名VPN服务提供商ExpressVPN近日修复了其Windows客户端中的一个关键漏洞,该漏洞导致使用远程桌面协议(RDP)时,用户的真实IP可能会被泄露。一般来说,VPN的核心功能之一是隐藏用户的真实IP,并保障其匿名性。此次技术失误意味着RDP流量未能正常通过VPN隧道,从而有被第三方观察者(如ISP或同一网络的用户)发现用户真实身份的风险。
ExpressVPN表示,此漏洞影响范围较窄,仅涉及使用RDP协议的用户,并未影响隧道加密。大多数普通消费者基本不会受到影响,因为RDP多用于IT管理员和企业远程访问。据介绍,该漏洞始于四个月前的12.97版本,存在于12.101.0.2-beta及之前版本,是由于开发过程中遗留的调试代码误被加入到正式发布版本中导致的。
在安全研究员“Adam-X”于今年4月25日通过漏洞赏金计划报告后,ExpressVPN于6月18日发布了12.101.0.45版本修补此漏洞。公司称将加强内部构建流程检查,提升自动化测试,以防类似问题再次发生。此外,建议所有Windows用户尽快升级至最新版本以获得完整保护。