GitHub 被曝安全漏洞，可被黑客利用偽裝成“微軟”分發(fā)惡意軟件

IT之家 4 月 23 日消息，代碼托管網(wǎng)站 GitHub 被曝高危嚴重漏洞，存在于 comment 文件上傳系統(tǒng)中，黑客利用該漏洞可以分發(fā)各種惡意軟件。

用戶可以將文件上傳到指定 GitHub comment 中（即便該條 comment 并不存在），也會自動生成下載鏈接。此鏈接包括存儲庫的名稱及其所有者，可能會誘使受害者認為該文件是合法的。

例如上傳到 GitHub 的文件 URL 地址可以表明來自微軟，但事實上該項目代碼中從未提及相關內容，IT之家附上兩個案例如下：

https//github[]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
https//github[]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

而且該漏洞并不需要任何復雜的專業(yè)技術，只需要上傳惡意文件到指定 comment 即可。攻擊者可以在任何受信任的存儲庫中上傳惡意軟件，然后通過 GitHub 鏈接進行分發(fā)。

而且這些鏈接屬于 GitHub 官方 URL 域名，且后綴是“Microsoft”等官方儲存庫，因此用戶很大幾率認為該 URL 下載鏈接的內容是正規(guī)安全的。

GitHub 目前已經(jīng)刪除了部分惡意軟件鏈接，對尚未完全修復該漏洞。對于開發(fā)者而言，現(xiàn)階段沒有足夠有效的方法阻止這種濫用，唯一的方案就是完全禁用 comment。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。