查看: 1166|回复: 1
收起左侧

[安全行业] 安全研究人员找到在苹果、PayPal 和微软系统上运行代码的方法

[复制链接]
空羽
发表于 2021-2-11 14:34:05 | 显示全部楼层 |阅读模式
本帖最后由 空羽 于 2021-2-11 14:41 编辑

IT之家 2 月 11 日消息 安全研究人员 Alex Birsan 发现了一个安全漏洞,允许他在苹果、微软、PayPal 和其他 30 多家公司拥有的服务器上运行代码。

20210211_081031_545.0.jpg

该漏洞利用了一个相对简单的技巧:用公共软件包替换私有软件包。公司在构建程序的时候,往往会使用其他人编写的开源代码,所以他们不会花费时间和资源去解决一个已经解决的问题。

在 NodeJS 的 npm、PyPi 的 PyPi 和 Ruby 的 RubyGems 等资源库上都可以找到这些公开的程序。值得注意的是,Birsan 发现这些资源库可以用来进行这种攻击,但并不限于这三种。

IT之家了解到,除了这些公开的包,公司往往会建立自己的私有包,他们不会上传,而是在自己的开发者中分发。Birsan 就是在这里发现了这个漏洞。他发现,如果他能找到公司使用的私有包的名称(大多数情况下是非常容易的),他就可以把自己的代码上传到一个同名的公共仓库中,公司的自动化系统就会使用他的代码来代替。他们不仅会下载他的包而不是正确的包,而且还会运行里面的代码。

用一个例子来解释这个问题,想象一下,你的电脑上有一个 Word 文档,但是当你去打开它的时候,你的电脑说:“嘿,互联网上还有一个同名的 Word 文档。我还是打开那个吧。”这样,那个 Word 文档就可以自动对你的电脑进行修改。

根据 Birsan 的说法,他所联系的大多数关于该漏洞的公司都能够迅速修补他们的系统。微软甚至还整理了一份白皮书,解释系统管理员如何保护他们的公司免受这类攻击,但坦率地说,有人花了这么长时间才发现这些庞大的公司容易受到这类攻击,实在令人吃惊。

来源:https://www.ithome.com/0/534/962.htm
一个笨鸟
发表于 2021-2-12 09:18:54 | 显示全部楼层
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 09:44 , Processed in 0.136357 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表