程式碼託管網站 GitHub 被曝高危嚴重漏洞,存在於評論區的檔案上傳系統中,駭客利用該漏洞可以分發各種惡意軟體。
駭客可以將檔案上傳到指定 GitHub評論中(即便該條評論實際上並不存在),也會自動生成下載連結。此連結包括儲存庫的名稱及其所有者,可能會誘使受害者認為該檔案是合法的。
例如上傳到 GitHub 的檔案 URL 地址可以表明來自微軟,但事實上該項目程式碼中從未提及相關內容。而且該漏洞並不需要任何複雜的專業技術,只需要上傳惡意檔案到指定評論區即可。攻擊者可以在任何受信任的儲存庫中上傳惡意軟體,然後通過 GitHub 連結進行分發。
而且因為這些連結屬於 GitHub 官方 URL 域名,且後綴是「Microsoft」等官方儲存程式庫,因此用戶會有很大機會認為該 URL 下載連結的內容是正規安全的。
GitHub 目前已經刪除了部分惡意軟體連結,對尚未完全修復該漏洞。對於開發者而言,現階段沒有足夠有效的方法阻止這種濫用,唯一的方案就是完全停用評論區的功能。
- 新聞來源:mspoweruser
- 延伸閱讀:瀏覽器介面安全性漏洞:可透過GPU存取電腦
- 延伸閱讀:蘋果公佈iOS 17.4.1更新細節,包含系統安全漏洞修復
- 延伸閱讀:Google在2023年就產品安全漏洞支付了1000萬美元的獎勵金
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!