搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫(xiě)文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      GitHub存在高危漏洞,黑客可利用進(jìn)行惡意軟件分發(fā)

      微云疏影 ? 來(lái)源:綜合整理 ? 作者:綜合整理 ? 2024-04-23 14:36 ? 次閱讀

      據(jù)報(bào)道,4月23日,知名代碼托管平臺(tái)GitHub爆出高風(fēng)險(xiǎn)漏洞,位于comment文件上傳功能中。黑客可借此分發(fā)各類(lèi)惡意軟件。

      據(jù)悉,該漏洞允許用戶(hù)在不存在的GitHub評(píng)論中上傳文件并創(chuàng)建下載鏈接,包括倉(cāng)庫(kù)名和所有者信息。這種偽裝可能使受害者誤以為文件為合法資源。

      更令人擔(dān)憂的是,此漏洞無(wú)需特殊技能,僅需將惡意文件上傳至相應(yīng)評(píng)論區(qū)便可。攻擊者可在任意信任度高的倉(cāng)庫(kù)中上傳惡意軟件,再借助GitHub鏈接進(jìn)行傳播。

      值得注意的是,此類(lèi)鏈接均以GitHub官方URL域名結(jié)尾,且包含如“Microsoft”等官方倉(cāng)庫(kù)字樣,極易讓用戶(hù)誤判其安全性。

      盡管GitHub已刪除部分惡意軟件鏈接,但仍未完全修復(fù)此漏洞。對(duì)于開(kāi)發(fā)者來(lái)說(shuō),現(xiàn)階段尚無(wú)有效手段阻止此類(lèi)濫用行為,唯一可行的措施便是徹底禁用comment功能。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • URL
        URL
        +關(guān)注

        關(guān)注

        0

        文章

        138

        瀏覽量

        15271
      • 漏洞
        +關(guān)注

        關(guān)注

        0

        文章

        203

        瀏覽量

        15332
      • GitHub
        +關(guān)注

        關(guān)注

        3

        文章

        461

        瀏覽量

        16324
      收藏 人收藏

        評(píng)論

        相關(guān)推薦

        高通警告64款芯片存在“零日漏洞”風(fēng)險(xiǎn)

        近日,高通公司發(fā)布了一項(xiàng)重要的安全警告,指出其多達(dá)64款芯片組中存在一項(xiàng)潛在的嚴(yán)重“零日漏洞”,編號(hào)為CVE-2024-43047。這一漏洞位于數(shù)字信號(hào)處理器(DSP)服務(wù)中,已經(jīng)出現(xiàn)了有限且有針對(duì)性的
        的頭像 發(fā)表于 10-14 15:48 ?1825次閱讀

        漏洞掃描的主要功能是什么

        漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù),用于識(shí)別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶(hù)利用來(lái)獲取未授權(quán)訪問(wèn)、數(shù)據(jù)泄露或其他形式的
        的頭像 發(fā)表于 09-25 10:25 ?212次閱讀

        火狐修復(fù)PDF組件漏洞,修復(fù)多款25年歷史Bug

        報(bào)告顯示,這個(gè)代碼執(zhí)行漏洞由CodeanLabs發(fā)現(xiàn)并通知Mozilla,CVSSv3評(píng)分達(dá)到7.5分。緣因是Firefox在處理PDF字體時(shí)未進(jìn)行“類(lèi)型檢查”,給了黑客可乘之機(jī),使其能利用
        的頭像 發(fā)表于 05-28 10:26 ?623次閱讀

        微軟五月補(bǔ)丁修復(fù)61個(gè)安全漏洞,含3個(gè)零日漏洞

        值得注意的是,此次修復(fù)并不包含5月2日修復(fù)的2個(gè)微軟Edge漏洞以及5月10日修復(fù)的4個(gè)漏洞。此外,本月的“補(bǔ)丁星期二”活動(dòng)還修復(fù)了3個(gè)零日漏洞,其中2個(gè)已被證實(shí)被黑客
        的頭像 發(fā)表于 05-15 14:45 ?606次閱讀

        蘋(píng)果修復(fù)舊款iPhone和iPad內(nèi)核零日漏洞

        此次更新的漏洞追蹤編號(hào)為CVE-2024-23296,存在于RTKit實(shí)時(shí)操作系統(tǒng)。據(jù)了解,已有證據(jù)顯示該漏洞已被黑客用于進(jìn)行攻擊,通過(guò)內(nèi)核
        的頭像 發(fā)表于 05-14 14:06 ?440次閱讀

        微軟修復(fù)兩個(gè)已被黑客利用攻擊的零日漏洞

        此次更新的精英賬號(hào)“泄露型”安全漏洞(代號(hào):CVE-2024-26234)源于代理驅(qū)動(dòng)程序欺騙漏洞。蘿卜章利用可信的微軟硬件發(fā)布證書(shū)簽名惡意驅(qū)動(dòng)程序。
        的頭像 發(fā)表于 04-10 14:39 ?481次閱讀

        D-Link NAS設(shè)備存在嚴(yán)重漏洞,易受攻擊者注入任意命令攻擊

        該問(wèn)題源于URL處理軟件中的CGI腳本段“/cgi-bin/ nas_sharing. CGI”,其對(duì)HTTPGET請(qǐng)求的處理過(guò)程存在漏洞。該漏洞以CVE-2024-3273作為識(shí)別號(hào)
        的頭像 發(fā)表于 04-08 10:28 ?720次閱讀

        全球數(shù)千臺(tái)路由器及物聯(lián)網(wǎng)設(shè)備遭"TheMoon"惡意軟件感染

        3月初發(fā)現(xiàn)此惡意活動(dòng)后,經(jīng)觀察,短短72小時(shí)已有6000臺(tái)華碩路由器被盯梢。黑客運(yùn)用IcedID、Solarmarker等惡意軟件,透過(guò)代理僵尸網(wǎng)絡(luò)掩飾其線上行為。此次行動(dòng)中,TheM
        的頭像 發(fā)表于 03-27 14:58 ?387次閱讀

        特斯拉修補(bǔ)黑客競(jìng)賽發(fā)現(xiàn)的漏洞,Pwn2Own助其領(lǐng)先安全領(lǐng)域

        作為領(lǐng)先電動(dòng)車(chē)品牌,特斯拉始終重視網(wǎng)絡(luò)安全,并且與白帽黑客建立伙伴關(guān)系。為此,特斯拉依托Pwn2Own等黑客賽事平臺(tái),以重金獎(jiǎng)勵(lì)挖掘漏洞以彌補(bǔ)隱患。這一措施取得良好成效,數(shù)百個(gè)漏洞已在
        的頭像 發(fā)表于 03-22 11:35 ?388次閱讀

        蘋(píng)果Apple Silicon芯片曝安全隱患:黑客可利用漏洞竊取用戶(hù)數(shù)據(jù)

        據(jù)悉,黑客可借助此漏洞獲取加密密鑰,進(jìn)而盜取用戶(hù)個(gè)人信息。DMP作為內(nèi)存系統(tǒng)中的角色,負(fù)責(zé)推測(cè)當(dāng)前運(yùn)行代碼所需訪問(wèn)的內(nèi)存地址。黑客則借此可預(yù)測(cè)下一步需獲取的數(shù)據(jù)位,以此干擾數(shù)據(jù)的預(yù)取過(guò)程,進(jìn)而獲悉用戶(hù)敏感數(shù)據(jù)。此類(lèi)攻擊行為被稱(chēng)為
        的頭像 發(fā)表于 03-22 10:30 ?691次閱讀

        GitHub推出新功能:智能掃描代碼潛在漏洞

        “代碼掃描”功能還能預(yù)防新手引入新的問(wèn)題,并支持在設(shè)定的日期和時(shí)間進(jìn)行掃描,或者讓特定事件(如推送到倉(cāng)庫(kù)中)觸發(fā)掃描。若AI判定代碼內(nèi)可能存在隱患,GitHub將在倉(cāng)庫(kù)中發(fā)出預(yù)警,待用戶(hù)修正引發(fā)求救信號(hào)的部分后,再撤銷(xiāo)警告。
        的頭像 發(fā)表于 03-21 14:55 ?527次閱讀

        趨勢(shì)科技報(bào)告揭示黑客利用Windows Defender SmartScreen漏洞進(jìn)行惡意軟件分發(fā)

        這起事故被編號(hào)為CVE-2024-21412,出現(xiàn)在Windows Defender SmartScreen之中的一項(xiàng)漏洞,攻擊者透過(guò)生成特定文件,輕易繞開(kāi)微軟系統(tǒng)的嚴(yán)密安全審查。
        的頭像 發(fā)表于 03-14 09:48 ?368次閱讀

        蘋(píng)果iOS快捷指令應(yīng)用存在漏洞,已獲修復(fù)

        這個(gè)名為CVE-2024-23204的漏洞嚴(yán)重程度達(dá)到7.5分(滿分10分),通過(guò)利用“擴(kuò)展URL”功能,規(guī)避蘋(píng)果的TCC訪問(wèn)控制系統(tǒng),進(jìn)而竊取用戶(hù)的照片、聯(lián)系人和文件甚至復(fù)制板內(nèi)容等重要信息。通過(guò)Flask程序,黑客可獲取并保
        的頭像 發(fā)表于 02-23 10:19 ?616次閱讀

        蘋(píng)果承認(rèn)GPU存在安全漏洞

        蘋(píng)果公司近日確認(rèn),部分設(shè)備中的圖形處理器存在名為“LeftoverLocals”的安全漏洞。這一漏洞可能影響由蘋(píng)果、高通、AMD和Imagination制造的多種圖形處理器。根據(jù)報(bào)告,iPhone 12和M2 MacBook A
        的頭像 發(fā)表于 01-18 14:26 ?567次閱讀

        GitHub入門(mén)與實(shí)踐

        GitHub 是一個(gè)基于 Git 版本控制系統(tǒng)的代碼托管平臺(tái),它提供了許多功能和用途,主要面向軟件開(kāi)發(fā)和協(xié)作。以下是 GitHub 的主要用途和一些關(guān)鍵技術(shù):GitHub 的主要用途:
        發(fā)表于 12-14 09:53 ?6次下載