GitHub存在高危漏洞,黑客可利用進行惡意軟件分發(fā)
據(jù)報道,4月23日,知名代碼托管平臺GitHub爆出高風(fēng)險漏洞,位于comment文件上傳功能中。黑客可借此分發(fā)各類惡意軟件。
據(jù)悉,該漏洞允許用戶在不存在的GitHub評論中上傳文件并創(chuàng)建下載鏈接,包括倉庫名和所有者信息。這種偽裝可能使受害者誤以為文件為合法資源。
更令人擔(dān)憂的是,此漏洞無需特殊技能,僅需將惡意文件上傳至相應(yīng)評論區(qū)便可。攻擊者可在任意信任度高的倉庫中上傳惡意軟件,再借助GitHub鏈接進行傳播。
值得注意的是,此類鏈接均以GitHub官方URL域名結(jié)尾,且包含如“Microsoft”等官方倉庫字樣,極易讓用戶誤判其安全性。
盡管GitHub已刪除部分惡意軟件鏈接,但仍未完全修復(fù)此漏洞。對于開發(fā)者來說,現(xiàn)階段尚無有效手段阻止此類濫用行為,唯一可行的措施便是徹底禁用comment功能。
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。
舉報投訴
-
URL
+關(guān)注
關(guān)注
0文章
139瀏覽量
15762 -
漏洞
+關(guān)注
關(guān)注
0文章
205瀏覽量
15600 -
GitHub
+關(guān)注
關(guān)注
3文章
481瀏覽量
17364
發(fā)布評論請先 登錄
相關(guān)推薦
熱點推薦
微軟Outlook曝高危安全漏洞
近日,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一項緊急安全公告,揭示了微軟Outlook中存在的一個高危遠程代碼執(zhí)行漏洞(CVE-2024-21413)。該漏洞的嚴(yán)重性不容忽視,
AMD與谷歌披露關(guān)鍵微碼漏洞
為CVE-2024-56161,其潛在風(fēng)險引起了業(yè)界的廣泛關(guān)注。為了更深入地了解該漏洞,谷歌安全研究團隊在GitHub上發(fā)布了相關(guān)帖子,對漏洞的詳細(xì)信息、影響范圍以及可能的攻擊方式進行
國聯(lián)易安:“三個絕招”,讓惡意代碼輔助檢測“穩(wěn)準(zhǔn)快全”
隨著黑客攻擊技術(shù)的演變,惡意程序檢測技術(shù)也得到了較快的發(fā)展。惡意代碼/程序通常包括特洛伊木馬、計算機病毒、蠕蟲程序以及其他各種流氓軟件等。其技術(shù)發(fā)展極其迅速,且隱蔽性較強,有些甚至能破
高通警告64款芯片存在“零日漏洞”風(fēng)險
近日,高通公司發(fā)布了一項重要的安全警告,指出其多達64款芯片組中存在一項潛在的嚴(yán)重“零日漏洞”,編號為CVE-2024-43047。這一漏洞位于數(shù)字信號處理器(DSP)服務(wù)中,已經(jīng)出現(xiàn)了有限且有針對性的
漏洞掃描的主要功能是什么
漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù),用于識別計算機系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權(quán)訪問、數(shù)據(jù)泄露或其他形式的
蘋果macOS 15 Sequoia將修復(fù)18年老漏洞,筑牢企業(yè)內(nèi)網(wǎng)安全防線
8月8日,網(wǎng)絡(luò)安全領(lǐng)域傳來重要消息,一個長達18年的安全漏洞正在被黑客廣泛利用,以入侵企業(yè)內(nèi)網(wǎng),威脅企業(yè)信息安全。幸運的是,蘋果公司已確認(rèn)在其即將推出的macOS 15 Sequoia系統(tǒng)中將修復(fù)這一長期
從CVE-2024-6387 OpenSSH Server 漏洞談?wù)勂髽I(yè)安全運營與應(yīng)急響應(yīng)
在當(dāng)今數(shù)字化時代,網(wǎng)絡(luò)安全已成為企業(yè)運營中不可忽視的重要一環(huán)。隨著技術(shù)的不斷發(fā)展,黑客攻擊手段也在不斷升級,其中0day漏洞的利用更是讓企業(yè)防不勝防。0day漏洞是指在廠商尚未發(fā)布補丁
CISA緊急公告:需盡快修補微軟Windows漏洞以應(yīng)對黑客攻擊
在網(wǎng)絡(luò)安全形勢日益嚴(yán)峻的今天,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)于6月14日發(fā)出了一份緊急公告,要求美國聯(lián)邦教育、科學(xué)及文化委員會下屬的各機構(gòu)在短短三周內(nèi),即截至7月4日,必須修補微軟Windows 10和Windows 11系統(tǒng)中的關(guān)鍵漏洞,以防范潛在的黑客網(wǎng)絡(luò)攻
Git發(fā)布新版本 修補五處安全漏洞 包含嚴(yán)重遠程代碼執(zhí)行風(fēng)險
CVE-2024-32002漏洞的嚴(yán)重性在于,黑客可通過創(chuàng)建特定的Git倉庫子模塊,誘騙Git將文件寫入.git/目錄,而非子模塊的工作樹。如此一來,攻擊者便能在克隆過程中植入惡意腳本,用戶幾乎無法察覺。
火狐修復(fù)PDF組件漏洞,修復(fù)多款25年歷史Bug
報告顯示,這個代碼執(zhí)行漏洞由CodeanLabs發(fā)現(xiàn)并通知Mozilla,CVSSv3評分達到7.5分。緣因是Firefox在處理PDF字體時未進行“類型檢查”,給了黑客可乘之機,使其能利用
"上古"僵尸網(wǎng)絡(luò)病毒Ebury重啟,目標(biāo)瞄準(zhǔn)服務(wù)器VPS供應(yīng)商
報告揭示,黑客利用泄露的數(shù)據(jù)庫進行“撞庫”,一旦成功獲取目標(biāo)主機權(quán)限,便會部署SSH腳本,嘗試獲取VPS中的密鑰,以進一步入侵其他服務(wù)器。此外,黑客還
英特爾修補90項漏洞,其中包括Neural Compressor高危缺陷
本次披露的問題主要集中在軟件層面,神經(jīng)壓縮機中的一個漏洞被評為CVSS10.0的“滿點”分?jǐn)?shù),具有遠程提權(quán)和實施任意攻擊的能力。
微軟五月補丁修復(fù)61個安全漏洞,含3個零日漏洞
值得注意的是,此次修復(fù)并不包含5月2日修復(fù)的2個微軟Edge漏洞以及5月10日修復(fù)的4個漏洞。此外,本月的“補丁星期二”活動還修復(fù)了3個零日漏洞,其中2個已被證實被黑客
JFrog安全研究表明:Docker Hub遭受協(xié)同攻擊,植入數(shù)百萬惡意存儲庫
安全研究團隊的工作包括通過持續(xù)監(jiān)控開源軟件注冊表,主動識別和解決潛在的惡意軟件與漏洞威脅。 通過持續(xù)掃描所有主要公共存儲庫,JFrog在
蘋果修復(fù)舊款iPhone和iPad內(nèi)核零日漏洞
此次更新的漏洞追蹤編號為CVE-2024-23296,存在于RTKit實時操作系統(tǒng)。據(jù)了解,已有證據(jù)顯示該漏洞已被黑客用于進行攻擊,通過內(nèi)核
工商網(wǎng)監(jiān)
評論