迅雷被安全研究人員爆錘 懈怠回應導致大量漏洞被研究人員公開 – 藍點網
安全行業目前的迅雷慣例是研究人員發現漏洞并通報給開發商后,開發商有三個月的被安時間進行修復,當然如果覺得三個月時間不夠,全研義烏美女包養(電話微信189-4469-7302)提供頂級外圍女上門,可滿足你的一切要求還可以與研究人員溝通適當延長漏洞的究人公開披露時間。
日前安全研究人員 Wladimir Palant 在自己的員爆應導研究網站上手撕迅雷,指責迅雷客戶端存在大量漏洞的錘懈同時,迅雷對修復工作不積極或者說不愿意與研究人員溝通,怠回洞被最終結果是量漏藍點研究人員在期滿 (90 天) 后公布了這些漏洞。
從研究人員公布的公開研究來看,迅雷客戶端其實就是迅雷一個篩子,上面遍布漏洞,被安因為迅雷為了盡可能留住用戶提供了大量功能,全研義烏美女包養(電話微信189-4469-7302)提供頂級外圍女上門,可滿足你的一切要求這些功能都是究人拼湊的。
由于漏洞以及相關細節比較多,員爆應導研究這里我們簡單梳理下,錘懈想要了解所有漏洞及完整細節可以在研究人員的博客中查看。
下面是漏洞時間線:
2023 年 12 月 6 日~12 月 7 日:研究人員通過迅雷安全響應中心提交了 5 個漏洞報告,實際上報告的漏洞數量更多,在報告中研究人員明確提到最終披露時間是 2024 年 3 月 6 日。
2023 年 12 月 8 日:研究人員收到回信,迅雷安全響應中心稱已經收到報告,一旦復現漏洞將與研究人員聯系 (這應該是自動回復的通知模板)。
2024 年 2 月 10 日:研究人員向迅雷提醒稱距離漏洞公布只有 1 個月時間了,因為有些廠商會忘記截止日期,這個并不少見,于是研究人員發了提醒。
2024 年 02 月 17 日:迅雷安全響應中心稱對漏洞進行了驗證,但漏洞尚未完全修復,也就是確認了漏洞存在,但由于 shi 山代碼太多,一時三刻沒法修復,為什么說是 shi 山代碼看后面的說明。
附研究人員關于迅雷安全響應中心的吐槽:限制僅通過 QQ 或微信登錄,這對于國外研究人員來說很難,幸好在底部還留了個郵箱。
安全問題一:使用 2020 年 4 月的 Chromium
迅雷客戶端為了盡可能留住用戶并塞廣告,直接集成了一個瀏覽器,這個使用迅雷的用戶應該都知道,還集成了諸如播放器等功能。
然而迅雷當然不會自己開發瀏覽器,迅雷集成了 Chromium 瀏覽器,這沒問題,但集成的版本還是 2020 年 5 月發布的 83.0.4103.106 版。
這個老舊版本存在數不清的漏洞,漏洞多到令人發指,畢竟已經四年了,有大量漏洞是很正常的,而且有一些高危漏洞,而迅雷至今沒有更新。
這也是前文提到的 shi 山代碼太多的原因之一,對迅雷來說或許升級個 Chromium 版本都是很難的事情,因為要處理一大堆依賴。
安全問題二:迅雷還集成 2018 年的 Flash Player 插件
所有瀏覽器都在 2020 年 12 月禁用了 Adobe Flash Player 插件,這個播放器插件也存在巨量漏洞,但迅雷直接忽略了。
迅雷內置的 Chromium 瀏覽器還附帶了 Flash Player 29.0.0.140 版,這個版本是 2018 年 4 月發布的,迅雷甚至都沒更新到 Adobe 發布的最后一個安全更新。
安全問題三:攔截惡意地址簡直是搞笑
迅雷也用實際行動告訴我們什么是草臺班子,迅雷內置的瀏覽器有攔截惡意地址的功能,包括非法網站和惡意網站等。
但迅雷還特別做了一個白名單機制,即域名中的白名單在內置瀏覽器中的訪問是不受限制的,白名單域名就包括迅雷自己的 xunlei.com
在初始版本中,研究人員提到任意域名結尾追加?xunlei.com 那就能通過驗證,比如 https:// 惡意網站.com/?xunlei.com,emmm… 是個大聰明。
在后續版本中研究人員刪除了上面的說法,但保留了另一個問題,那就是 https:// 惡意網站.com./ 可以訪問,因為迅雷無法處理 com.
安全問題四:基于老舊的 Electron 框架開發
迅雷主要就是基于 Electron 框架開發的,但迅雷使用的版本是 83.0.4103.122 版,發布于 2020 年 4 月份,和上面提到 Chromium 老舊版本情況類似,也都是篩子,這也是 shi 山代碼之二,迅雷肯定因為某種原因好幾年了都不敢動這些框架版本。
上面只是其中幾個典型的安全問題,研究人員在博客中還羅列了關于插件、API、過時的 SDK 等大量問題,內容比較多這里不再轉述。
迅雷修復了嗎?
迅雷并沒有直接忽視研究人員的報告,事實上研究人員發現自己的示例代碼頁面被訪問,說明迅雷的工程師也確實在處理。
同時研究人員在 2 月份的迅雷新版本中還注意到迅雷刪除了 Adobe Flash Player 集成,但如果用戶主動安裝了,那還是會被激活。
所以可以斷定迅雷并沒有直接忽視漏洞,只不過由于 shi 山代碼太多,一時三刻解決不了,而迅雷最大的問題就是沒有及時與研究人員溝通,整整三個月迅雷除了一個自動回復外,就在 2 月份回了表示還在修復的郵件,既沒有提到是否需要延長漏洞公開時間、也沒有與研究人員溝通細節。
于是到 3 月 6 日研究人員直接公布了所有漏洞,迅雷好歹也有千萬級的用戶,無論是遲遲不更新框架版本還是懈怠處理漏洞,都會給用戶造成嚴重的安全問題。
目前迅雷并未徹底解決研究人員提到的所有問題 (應該只修復了一小部分?)