RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

GitHub存在高危漏洞,黑客可利用進(jìn)行惡意軟件分發(fā)

微云疏影 ? 來(lái)源:綜合整理 ? 作者:綜合整理 ? 2024-04-23 14:36 ? 次閱讀

據(jù)報(bào)道,4月23日,知名代碼托管平臺(tái)GitHub爆出高風(fēng)險(xiǎn)漏洞,位于comment文件上傳功能中。黑客可借此分發(fā)各類惡意軟件。

據(jù)悉,該漏洞允許用戶在不存在的GitHub評(píng)論中上傳文件并創(chuàng)建下載鏈接,包括倉(cāng)庫(kù)名和所有者信息。這種偽裝可能使受害者誤以為文件為合法資源。

更令人擔(dān)憂的是,此漏洞無(wú)需特殊技能,僅需將惡意文件上傳至相應(yīng)評(píng)論區(qū)便可。攻擊者可在任意信任度高的倉(cāng)庫(kù)中上傳惡意軟件,再借助GitHub鏈接進(jìn)行傳播。

值得注意的是,此類鏈接均以GitHub官方URL域名結(jié)尾,且包含如“Microsoft”等官方倉(cāng)庫(kù)字樣,極易讓用戶誤判其安全性。

盡管GitHub已刪除部分惡意軟件鏈接,但仍未完全修復(fù)此漏洞。對(duì)于開發(fā)者來(lái)說(shuō),現(xiàn)階段尚無(wú)有效手段阻止此類濫用行為,唯一可行的措施便是徹底禁用comment功能。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • URL
    URL
    +關(guān)注

    關(guān)注

    0

    文章

    139

    瀏覽量

    15328
  • 漏洞
    +關(guān)注

    關(guān)注

    0

    文章

    204

    瀏覽量

    15366
  • GitHub
    +關(guān)注

    關(guān)注

    3

    文章

    468

    瀏覽量

    16427
收藏 人收藏

    評(píng)論

    相關(guān)推薦

    高通警告64款芯片存在“零日漏洞”風(fēng)險(xiǎn)

    近日,高通公司發(fā)布了一項(xiàng)重要的安全警告,指出其多達(dá)64款芯片組中存在一項(xiàng)潛在的嚴(yán)重“零日漏洞”,編號(hào)為CVE-2024-43047。這一漏洞位于數(shù)字信號(hào)處理器(DSP)服務(wù)中,已經(jīng)出現(xiàn)了有限且有針對(duì)性的
    的頭像 發(fā)表于 10-14 15:48 ?2465次閱讀

    漏洞掃描的主要功能是什么

    漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù),用于識(shí)別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來(lái)獲取未授權(quán)訪問(wèn)、數(shù)據(jù)泄露或其他形式的
    的頭像 發(fā)表于 09-25 10:25 ?390次閱讀

    火狐修復(fù)PDF組件漏洞,修復(fù)多款25年歷史Bug

    報(bào)告顯示,這個(gè)代碼執(zhí)行漏洞由CodeanLabs發(fā)現(xiàn)并通知Mozilla,CVSSv3評(píng)分達(dá)到7.5分。緣因是Firefox在處理PDF字體時(shí)未進(jìn)行“類型檢查”,給了黑客可乘之機(jī),使其能利用
    的頭像 發(fā)表于 05-28 10:26 ?739次閱讀

    微軟五月補(bǔ)丁修復(fù)61個(gè)安全漏洞,含3個(gè)零日漏洞

    值得注意的是,此次修復(fù)并不包含5月2日修復(fù)的2個(gè)微軟Edge漏洞以及5月10日修復(fù)的4個(gè)漏洞。此外,本月的“補(bǔ)丁星期二”活動(dòng)還修復(fù)了3個(gè)零日漏洞,其中2個(gè)已被證實(shí)被黑客
    的頭像 發(fā)表于 05-15 14:45 ?684次閱讀

    蘋果修復(fù)舊款iPhone和iPad內(nèi)核零日漏洞

    此次更新的漏洞追蹤編號(hào)為CVE-2024-23296,存在于RTKit實(shí)時(shí)操作系統(tǒng)。據(jù)了解,已有證據(jù)顯示該漏洞已被黑客用于進(jìn)行攻擊,通過(guò)內(nèi)核
    的頭像 發(fā)表于 05-14 14:06 ?542次閱讀

    Zscaler揭秘“模塊化設(shè)計(jì)”惡意載入器:可逃過(guò)檢測(cè)并注入腳本

    據(jù)了解,此類加載器有能力繞過(guò)UAC防護(hù),將黑客惡意軟件納入Microsoft Defender白名單,并支持進(jìn)程空洞、管道觸發(fā)激活及進(jìn)程分身等多種策略。此外,它還具備額外的脫鉤技術(shù)。
    的頭像 發(fā)表于 05-10 15:14 ?493次閱讀

    微軟修復(fù)兩個(gè)已被黑客利用攻擊的零日漏洞

    此次更新的精英賬號(hào)“泄露型”安全漏洞(代號(hào):CVE-2024-26234)源于代理驅(qū)動(dòng)程序欺騙漏洞。蘿卜章利用可信的微軟硬件發(fā)布證書簽名惡意驅(qū)動(dòng)程序。
    的頭像 發(fā)表于 04-10 14:39 ?556次閱讀

    D-Link NAS設(shè)備存在嚴(yán)重漏洞,易受攻擊者注入任意命令攻擊

    該問(wèn)題源于URL處理軟件中的CGI腳本段“/cgi-bin/ nas_sharing. CGI”,其對(duì)HTTPGET請(qǐng)求的處理過(guò)程存在漏洞。該漏洞以CVE-2024-3273作為識(shí)別號(hào)
    的頭像 發(fā)表于 04-08 10:28 ?879次閱讀

    全球數(shù)千臺(tái)路由器及物聯(lián)網(wǎng)設(shè)備遭"TheMoon"惡意軟件感染

    3月初發(fā)現(xiàn)此惡意活動(dòng)后,經(jīng)觀察,短短72小時(shí)已有6000臺(tái)華碩路由器被盯梢。黑客運(yùn)用IcedID、Solarmarker等惡意軟件,透過(guò)代理僵尸網(wǎng)絡(luò)掩飾其線上行為。此次行動(dòng)中,TheM
    的頭像 發(fā)表于 03-27 14:58 ?467次閱讀

    特斯拉修補(bǔ)黑客競(jìng)賽發(fā)現(xiàn)的漏洞,Pwn2Own助其領(lǐng)先安全領(lǐng)域

    作為領(lǐng)先電動(dòng)車品牌,特斯拉始終重視網(wǎng)絡(luò)安全,并且與白帽黑客建立伙伴關(guān)系。為此,特斯拉依托Pwn2Own等黑客賽事平臺(tái),以重金獎(jiǎng)勵(lì)挖掘漏洞以彌補(bǔ)隱患。這一措施取得良好成效,數(shù)百個(gè)漏洞已在
    的頭像 發(fā)表于 03-22 11:35 ?494次閱讀

    蘋果Apple Silicon芯片曝安全隱患:黑客可利用漏洞竊取用戶數(shù)據(jù)

    據(jù)悉,黑客可借助此漏洞獲取加密密鑰,進(jìn)而盜取用戶個(gè)人信息。DMP作為內(nèi)存系統(tǒng)中的角色,負(fù)責(zé)推測(cè)當(dāng)前運(yùn)行代碼所需訪問(wèn)的內(nèi)存地址。黑客則借此可預(yù)測(cè)下一步需獲取的數(shù)據(jù)位,以此干擾數(shù)據(jù)的預(yù)取過(guò)程,進(jìn)而獲悉用戶敏感數(shù)據(jù)。此類攻擊行為被稱為
    的頭像 發(fā)表于 03-22 10:30 ?831次閱讀

    GitHub推出新功能:智能掃描代碼潛在漏洞

    “代碼掃描”功能還能預(yù)防新手引入新的問(wèn)題,并支持在設(shè)定的日期和時(shí)間進(jìn)行掃描,或者讓特定事件(如推送到倉(cāng)庫(kù)中)觸發(fā)掃描。若AI判定代碼內(nèi)可能存在隱患,GitHub將在倉(cāng)庫(kù)中發(fā)出預(yù)警,待用戶修正引發(fā)求救信號(hào)的部分后,再撤銷警告。
    的頭像 發(fā)表于 03-21 14:55 ?696次閱讀

    趨勢(shì)科技報(bào)告揭示黑客利用Windows Defender SmartScreen漏洞進(jìn)行惡意軟件分發(fā)

    這起事故被編號(hào)為CVE-2024-21412,出現(xiàn)在Windows Defender SmartScreen之中的一項(xiàng)漏洞,攻擊者透過(guò)生成特定文件,輕易繞開微軟系統(tǒng)的嚴(yán)密安全審查。
    的頭像 發(fā)表于 03-14 09:48 ?448次閱讀

    蘋果iOS快捷指令應(yīng)用存在漏洞,已獲修復(fù)

    這個(gè)名為CVE-2024-23204的漏洞嚴(yán)重程度達(dá)到7.5分(滿分10分),通過(guò)利用“擴(kuò)展URL”功能,規(guī)避蘋果的TCC訪問(wèn)控制系統(tǒng),進(jìn)而竊取用戶的照片、聯(lián)系人和文件甚至復(fù)制板內(nèi)容等重要信息。通過(guò)Flask程序,黑客可獲取并保
    的頭像 發(fā)表于 02-23 10:19 ?771次閱讀

    蘋果承認(rèn)GPU存在安全漏洞

    蘋果公司近日確認(rèn),部分設(shè)備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報(bào)告,iPhone 12和M2 MacBook A
    的頭像 發(fā)表于 01-18 14:26 ?677次閱讀
    RM新时代网站-首页