設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

安全研究人員找到在蘋果、PayPal 和微軟系統(tǒng)上運(yùn)行代碼的方法

2021/2/11 8:11:19 來(lái)源:IT之家 作者:遠(yuǎn)洋 責(zé)編:遠(yuǎn)洋

IT之家 2 月 11 日消息 安全研究人員 Alex Birsan 發(fā)現(xiàn)了一個(gè)安全漏洞,允許他在蘋果、微軟、PayPal 和其他 30 多家公司擁有的服務(wù)器上運(yùn)行代碼。

該漏洞利用了一個(gè)相對(duì)簡(jiǎn)單的技巧:用公共軟件包替換私有軟件包。公司在構(gòu)建程序的時(shí)候,往往會(huì)使用其他人編寫(xiě)的開(kāi)源代碼,所以他們不會(huì)花費(fèi)時(shí)間和資源去解決一個(gè)已經(jīng)解決的問(wèn)題。

在 NodeJS 的 npm、PyPi 的 PyPi 和 Ruby 的 RubyGems 等資源庫(kù)上都可以找到這些公開(kāi)的程序。值得注意的是,Birsan 發(fā)現(xiàn)這些資源庫(kù)可以用來(lái)進(jìn)行這種攻擊,但并不限于這三種。

IT之家了解到,除了這些公開(kāi)的包,公司往往會(huì)建立自己的私有包,他們不會(huì)上傳,而是在自己的開(kāi)發(fā)者中分發(fā)。Birsan 就是在這里發(fā)現(xiàn)了這個(gè)漏洞。他發(fā)現(xiàn),如果他能找到公司使用的私有包的名稱(大多數(shù)情況下是非常容易的),他就可以把自己的代碼上傳到一個(gè)同名的公共倉(cāng)庫(kù)中,公司的自動(dòng)化系統(tǒng)就會(huì)使用他的代碼來(lái)代替。他們不僅會(huì)下載他的包而不是正確的包,而且還會(huì)運(yùn)行里面的代碼。

用一個(gè)例子來(lái)解釋這個(gè)問(wèn)題,想象一下,你的電腦上有一個(gè) Word 文檔,但是當(dāng)你去打開(kāi)它的時(shí)候,你的電腦說(shuō):“嘿,互聯(lián)網(wǎng)上還有一個(gè)同名的 Word 文檔。我還是打開(kāi)那個(gè)吧?!边@樣,那個(gè) Word 文檔就可以自動(dòng)對(duì)你的電腦進(jìn)行修改。

根據(jù) Birsan 的說(shuō)法,他所聯(lián)系的大多數(shù)關(guān)于該漏洞的公司都能夠迅速修補(bǔ)他們的系統(tǒng)。微軟甚至還整理了一份白皮書(shū),解釋系統(tǒng)管理員如何保護(hù)他們的公司免受這類攻擊,但坦率地說(shuō),有人花了這么長(zhǎng)時(shí)間才發(fā)現(xiàn)這些龐大的公司容易受到這類攻擊,實(shí)在令人吃驚。

廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:蘋果,微軟黑客

軟媒旗下網(wǎng)站: IT之家 最會(huì)買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會(huì)買 要知