0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

GitHub存在高危漏洞,黑客可利用进行恶意软件分发

微云疏影 来源:综合整理 作者:综合整理 2024-04-23 14:36 次阅读

据报道,4月23日,知名代码托管平台GitHub爆出高风险漏洞,位于comment文件上传功能中。黑客可借此分发各类恶意软件。

据悉,该漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接,包括仓库名和所有者信息。这种伪装可能使受害者误以为文件为合法资源。

更令人担忧的是,此漏洞无需特殊技能,仅需将恶意文件上传至相应评论区便可。攻击者可在任意信任度高的仓库中上传恶意软件,再借助GitHub链接进行传播。

值得注意的是,此类链接均以GitHub官方URL域名结尾,且包含如“Microsoft”等官方仓库字样,极易让用户误判其安全性。

尽管GitHub已删除部分恶意软件链接,但仍未完全修复此漏洞。对于开发者来说,现阶段尚无有效手段阻止此类滥用行为,唯一可行的措施便是彻底禁用comment功能。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • URL
    URL
    +关注

    关注

    0

    文章

    139

    浏览量

    15328
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15366
  • GitHub
    +关注

    关注

    3

    文章

    468

    浏览量

    16427
收藏 人收藏

    评论

    相关推荐

    高通警告64款芯片存在“零日漏洞”风险

    近日,高通公司发布了一项重要的安全警告,指出其多达64款芯片组中存在一项潜在的严重“零日漏洞”,编号为CVE-2024-43047。这一漏洞位于数字信号处理器(DSP)服务中,已经出现了有限且有针对性的
    的头像 发表于 10-14 15:48 2463次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的
    的头像 发表于 09-25 10:25 389次阅读

    火狐修复PDF组件漏洞,修复多款25年历史Bug

    报告显示,这个代码执行漏洞由CodeanLabs发现并通知Mozilla,CVSSv3评分达到7.5分。缘因是Firefox在处理PDF字体时未进行“类型检查”,给了黑客可乘之机,使其能利用
    的头像 发表于 05-28 10:26 739次阅读

    微软五月补丁修复61个安全漏洞,含3个零日漏洞

    值得注意的是,此次修复并不包含5月2日修复的2个微软Edge漏洞以及5月10日修复的4个漏洞。此外,本月的“补丁星期二”活动还修复了3个零日漏洞,其中2个已被证实被黑客
    的头像 发表于 05-15 14:45 684次阅读

    苹果修复旧款iPhone和iPad内核零日漏洞

    此次更新的漏洞追踪编号为CVE-2024-23296,存在于RTKit实时操作系统。据了解,已有证据显示该漏洞已被黑客用于进行攻击,通过内核
    的头像 发表于 05-14 14:06 540次阅读

    Zscaler揭秘“模块化设计”恶意载入器:可逃过检测并注入脚本

    据了解,此类加载器有能力绕过UAC防护,将黑客恶意软件纳入Microsoft Defender白名单,并支持进程空洞、管道触发激活及进程分身等多种策略。此外,它还具备额外的脱钩技术。
    的头像 发表于 05-10 15:14 492次阅读

    微软修复两个已被黑客利用攻击的零日漏洞

    此次更新的精英账号“泄露型”安全漏洞(代号:CVE-2024-26234)源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。
    的头像 发表于 04-10 14:39 556次阅读

    D-Link NAS设备存在严重漏洞,易受攻击者注入任意命令攻击

    该问题源于URL处理软件中的CGI脚本段“/cgi-bin/ nas_sharing. CGI”,其对HTTPGET请求的处理过程存在漏洞。该漏洞以CVE-2024-3273作为识别号
    的头像 发表于 04-08 10:28 877次阅读

    全球数千台路由器及物联网设备遭"TheMoon"恶意软件感染

    3月初发现此恶意活动后,经观察,短短72小时已有6000台华硕路由器被盯梢。黑客运用IcedID、Solarmarker等恶意软件,透过代理僵尸网络掩饰其线上行为。此次行动中,TheM
    的头像 发表于 03-27 14:58 466次阅读

    特斯拉修补黑客竞赛发现的漏洞,Pwn2Own助其领先安全领域

    作为领先电动车品牌,特斯拉始终重视网络安全,并且与白帽黑客建立伙伴关系。为此,特斯拉依托Pwn2Own等黑客赛事平台,以重金奖励挖掘漏洞以弥补隐患。这一措施取得良好成效,数百个漏洞已在
    的头像 发表于 03-22 11:35 494次阅读

    苹果Apple Silicon芯片曝安全隐患:黑客可利用漏洞窃取用户数据

    据悉,黑客可借助此漏洞获取加密密钥,进而盗取用户个人信息。DMP作为内存系统中的角色,负责推测当前运行代码所需访问的内存地址。黑客则借此可预测下一步需获取的数据位,以此干扰数据的预取过程,进而获悉用户敏感数据。此类攻击行为被称为
    的头像 发表于 03-22 10:30 831次阅读

    GitHub推出新功能:智能扫描代码潜在漏洞

    “代码扫描”功能还能预防新手引入新的问题,并支持在设定的日期和时间进行扫描,或者让特定事件(如推送到仓库中)触发扫描。若AI判定代码内可能存在隐患,GitHub将在仓库中发出预警,待用户修正引发求救信号的部分后,再撤销警告。
    的头像 发表于 03-21 14:55 696次阅读

    趋势科技报告揭示黑客利用Windows Defender SmartScreen漏洞进行恶意软件分发

    这起事故被编号为CVE-2024-21412,出现在Windows Defender SmartScreen之中的一项漏洞,攻击者透过生成特定文件,轻易绕开微软系统的严密安全审查。
    的头像 发表于 03-14 09:48 448次阅读

    苹果iOS快捷指令应用存在漏洞,已获修复

    这个名为CVE-2024-23204的漏洞严重程度达到7.5分(满分10分),通过利用“扩展URL”功能,规避苹果的TCC访问控制系统,进而窃取用户的照片、联系人和文件甚至复制板内容等重要信息。通过Flask程序,黑客可获取并保
    的头像 发表于 02-23 10:19 770次阅读

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook A
    的头像 发表于 01-18 14:26 675次阅读