據(jù)報(bào)道,4月23日,知名代碼托管平臺(tái)GitHub爆出高風(fēng)險(xiǎn)漏洞,位于comment文件上傳功能中。黑客可借此分發(fā)各類惡意軟件。
據(jù)悉,該漏洞允許用戶在不存在的GitHub評(píng)論中上傳文件并創(chuàng)建下載鏈接,包括倉(cāng)庫(kù)名和所有者信息。這種偽裝可能使受害者誤以為文件為合法資源。
更令人擔(dān)憂的是,此漏洞無(wú)需特殊技能,僅需將惡意文件上傳至相應(yīng)評(píng)論區(qū)便可。攻擊者可在任意信任度高的倉(cāng)庫(kù)中上傳惡意軟件,再借助GitHub鏈接進(jìn)行傳播。
值得注意的是,此類鏈接均以GitHub官方URL域名結(jié)尾,且包含如“Microsoft”等官方倉(cāng)庫(kù)字樣,極易讓用戶誤判其安全性。
盡管GitHub已刪除部分惡意軟件鏈接,但仍未完全修復(fù)此漏洞。對(duì)于開(kāi)發(fā)者來(lái)說(shuō),現(xiàn)階段尚無(wú)有效手段阻止此類濫用行為,唯一可行的措施便是徹底禁用comment功能。
聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。
舉報(bào)投訴
相關(guān)推薦
近日,高通公司發(fā)布了一項(xiàng)重要的安全警告,指出其多達(dá)64款芯片組中存在一項(xiàng)潛在的嚴(yán)重“零日漏洞”,編號(hào)為CVE-2024-43047。這一漏洞位于數(shù)字信號(hào)處理器(DSP)服務(wù)中,已經(jīng)出現(xiàn)了有限且有針對(duì)性的
發(fā)表于 10-14 15:48
?2482次閱讀
漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù),用于識(shí)別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來(lái)獲取未授權(quán)訪問(wèn)、數(shù)據(jù)泄露或其他形式的
發(fā)表于 09-25 10:25
?408次閱讀
報(bào)告顯示,這個(gè)代碼執(zhí)行漏洞由CodeanLabs發(fā)現(xiàn)并通知Mozilla,CVSSv3評(píng)分達(dá)到7.5分。緣因是Firefox在處理PDF字體時(shí)未進(jìn)行“類型檢查”,給了黑客可乘之機(jī),使其能利用
發(fā)表于 05-28 10:26
?751次閱讀
值得注意的是,此次修復(fù)并不包含5月2日修復(fù)的2個(gè)微軟Edge漏洞以及5月10日修復(fù)的4個(gè)漏洞。此外,本月的“補(bǔ)丁星期二”活動(dòng)還修復(fù)了3個(gè)零日漏洞,其中2個(gè)已被證實(shí)被黑客
發(fā)表于 05-15 14:45
?699次閱讀
此次更新的漏洞追蹤編號(hào)為CVE-2024-23296,存在于RTKit實(shí)時(shí)操作系統(tǒng)。據(jù)了解,已有證據(jù)顯示該漏洞已被黑客用于進(jìn)行攻擊,通過(guò)內(nèi)核
發(fā)表于 05-14 14:06
?554次閱讀
據(jù)了解,此類加載器有能力繞過(guò)UAC防護(hù),將黑客惡意軟件納入Microsoft Defender白名單,并支持進(jìn)程空洞、管道觸發(fā)激活及進(jìn)程分身等多種策略。此外,它還具備額外的脫鉤技術(shù)。
發(fā)表于 05-10 15:14
?500次閱讀
此次更新的精英賬號(hào)“泄露型”安全漏洞(代號(hào):CVE-2024-26234)源于代理驅(qū)動(dòng)程序欺騙漏洞。蘿卜章利用可信的微軟硬件發(fā)布證書(shū)簽名惡意驅(qū)動(dòng)程序。
發(fā)表于 04-10 14:39
?557次閱讀
該問(wèn)題源于URL處理軟件中的CGI腳本段“/cgi-bin/ nas_sharing. CGI”,其對(duì)HTTPGET請(qǐng)求的處理過(guò)程存在漏洞。該漏洞以CVE-2024-3273作為識(shí)別號(hào)
發(fā)表于 04-08 10:28
?895次閱讀
3月初發(fā)現(xiàn)此惡意活動(dòng)后,經(jīng)觀察,短短72小時(shí)已有6000臺(tái)華碩路由器被盯梢。黑客運(yùn)用IcedID、Solarmarker等惡意軟件,透過(guò)代理僵尸網(wǎng)絡(luò)掩飾其線上行為。此次行動(dòng)中,TheM
發(fā)表于 03-27 14:58
?477次閱讀
作為領(lǐng)先電動(dòng)車品牌,特斯拉始終重視網(wǎng)絡(luò)安全,并且與白帽黑客建立伙伴關(guān)系。為此,特斯拉依托Pwn2Own等黑客賽事平臺(tái),以重金獎(jiǎng)勵(lì)挖掘漏洞以彌補(bǔ)隱患。這一措施取得良好成效,數(shù)百個(gè)漏洞已在
發(fā)表于 03-22 11:35
?500次閱讀
據(jù)悉,黑客可借助此漏洞獲取加密密鑰,進(jìn)而盜取用戶個(gè)人信息。DMP作為內(nèi)存系統(tǒng)中的角色,負(fù)責(zé)推測(cè)當(dāng)前運(yùn)行代碼所需訪問(wèn)的內(nèi)存地址。黑客則借此可預(yù)測(cè)下一步需獲取的數(shù)據(jù)位,以此干擾數(shù)據(jù)的預(yù)取過(guò)程,進(jìn)而獲悉用戶敏感數(shù)據(jù)。此類攻擊行為被稱為
發(fā)表于 03-22 10:30
?849次閱讀
“代碼掃描”功能還能預(yù)防新手引入新的問(wèn)題,并支持在設(shè)定的日期和時(shí)間進(jìn)行掃描,或者讓特定事件(如推送到倉(cāng)庫(kù)中)觸發(fā)掃描。若AI判定代碼內(nèi)可能存在隱患,GitHub將在倉(cāng)庫(kù)中發(fā)出預(yù)警,待用戶修正引發(fā)求救信號(hào)的部分后,再撤銷警告。
發(fā)表于 03-21 14:55
?707次閱讀
這起事故被編號(hào)為CVE-2024-21412,出現(xiàn)在Windows Defender SmartScreen之中的一項(xiàng)漏洞,攻擊者透過(guò)生成特定文件,輕易繞開(kāi)微軟系統(tǒng)的嚴(yán)密安全審查。
發(fā)表于 03-14 09:48
?456次閱讀
這個(gè)名為CVE-2024-23204的漏洞嚴(yán)重程度達(dá)到7.5分(滿分10分),通過(guò)利用“擴(kuò)展URL”功能,規(guī)避蘋(píng)果的TCC訪問(wèn)控制系統(tǒng),進(jìn)而竊取用戶的照片、聯(lián)系人和文件甚至復(fù)制板內(nèi)容等重要信息。通過(guò)Flask程序,黑客可獲取并保
發(fā)表于 02-23 10:19
?787次閱讀
蘋(píng)果公司近日確認(rèn),部分設(shè)備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋(píng)果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報(bào)告,iPhone 12和M2 MacBook A
發(fā)表于 01-18 14:26
?684次閱讀
評(píng)論