[科技知识] 如何看待迅雷被曝存在大量漏洞和过时组件，且至今仍未得到修复？

天天财汇购物网址万年历小说 | 三峰软件小游戏视频

TxT小说阅读器
↓小说语音阅读,小说下载↓

一键清除系统垃圾
↓轻轻一点,清除系统垃圾↓

图片批量下载器
↓批量下载图片,美女图库↓

图片自动播放器
↓图片自动播放,产品展示↓

首页淘股吧股票涨跌实时统计涨停板选股股票入门股票书籍股票问答分时图选股跌停板选股 K线图选股成交量选股 [平安银行]

股市论谈均线选股趋势线选股筹码理论波浪理论缠论 MACD指标 KDJ指标 BOLL指标 RSI指标炒股基础知识炒股故事

商业财经科技知识汽车百科工程技术自然科学家居生活设计艺术财经视频游戏--

天天财汇 -> 科技知识 -> 如何看待迅雷被曝存在大量漏洞和过时组件，且至今仍未得到修复？ -> 正文阅读

[科技知识]如何看待迅雷被曝存在大量漏洞和过时组件，且至今仍未得到修复？

[收藏本文] 【下载本文】

漏洞披露来源： Numerous vulnerabilities in Xunlei Accelerator application 相关问题：迅雷…

Emmm，我看完了这篇英文报告，怎么说呢…… 意料之中，感觉没有什么太多的新东西，所以根本不意外。恐怕迅雷自己也觉得这几个问题，说大不大，有点消极处理的态度。下面我给大家翻译成人话，就好懂了。
首先，就是一直最让人诟病的浏览器问题。迅雷从放弃自家 BOLT 界面引擎之后，就转向内嵌浏览器，即 Electron 框架。那么，浏览器该有的漏洞，它一样也有，这取决于是否积极更新框架内核。

迅雷浏览器内核版本
如上图所示，我们可以看到最新版本的迅雷 12（截至文章时间）内嵌的浏览器内核版本仍然是陈旧的 Chrome 83。在此前，它还是支持 Adobe Flash Player 插件的，这可能也是迅雷团队执着于老版本的原因，因为从 Chrome 88 开始谷歌完全禁用了 Flash 插件。
然后，除去低版本浏览器和 Flash 本身的漏洞之外，迅雷为实现和自身功能的一些交互（比如：网址审查、视频自动播放、接口查询）额外取消了一些 Chrome 的保护措施（比如：沙盒）。使得这些功能在浏览器中完全暴漏，被任意网页调用。
另外包括 HTTPS 中间人攻击、HTTP 劫持，这些漏洞其实也没老外说的那么危言耸听啦。不会真的还有人用迅雷去浏览网页的吧？不会吧？不会吧？Flash 在国内也活得好好的，因为就是有这个需求，它就是有人喜欢用，你能咋地？
但是，那么重点来了，还有一个 XLServicePlatform 服务，是 system 权限运行的，并且有 XLWFP.sys 和 XLGuard.sys 这两个驱动文件，这就细思极恐了 =_=||| 它居然可以直接从网络下发插件并被加载，下发地址：http://plugin.pc.xunlei.com/config/XLServicePlatform_12.0.3.xml

<?xml version="1.0" encoding="UTF-8"?>
<moduleConfig>
	<modules>
		<module>
			<moduleName>XLWFPDownload</moduleName>
			<moduleType>dll</moduleType>
			<moduleStatus>enable</moduleStatus>
			<fileName>XLWFPDownload.dll</fileName>		
			<fileUrl>http://plugin.pc.xunlei.com/other/XLWFPDownload_10117.dll</fileUrl>
			<fileVer>1.0.1.17</fileVer>
			<osVer>6.1.7600</osVer>
			<delayTime>40</delayTime>
			<function>Start</function>
		</module>
		
		<module>
			<moduleName>XLWFPManager</moduleName>
			<moduleType>dll</moduleType>
			<moduleStatus>enable</moduleStatus>
			<fileName>XLWFPManager.dll</fileName>
			<fileUrl>http://plugin.pc.xunlei.com/other/XLWFPManager_1019.dll</fileUrl>
			<fileVer>1.0.1.9</fileVer>
			<osVer>6.1.7600</osVer>
			<delayTime>30</delayTime>
			<function>Start</function>
		</module>
		
		<module>
			<moduleName>tps</moduleName>
			<moduleType>dll</moduleType>
			<moduleStatus>enable</moduleStatus>
			<fileName>tps.dll</fileName>
			<fileUrl>http://plugin.pc.xunlei.com/other/tps_1021.dll</fileUrl>
			<fileVer>1.0.2.1</fileVer>
			<osVer></osVer>
			<delayTime>20</delayTime>
			<function></function>
		</module>
		
		<module>
			<moduleName>ThunderUnion</moduleName> 
			<moduleType>dll</moduleType> 
			<moduleStatus>enable</moduleStatus> 
			<fileName>ThunderUnion.dll</fileName> 
			<fileUrl>http://plugin.pc.xunlei.com/config/ThunderUnion_1014.dll</fileUrl> 
			<fileVer>1.0.0.14</fileVer> 
			<osVer>6.1.7600</osVer> 
			<delayTime>50</delayTime> 
			<function>Start</function> 
		</module>
	</modules>
</moduleConfig>

这妥妥的是一个后门程序呀！如果被劫持的话，就直接加载恶意插件了，且本身就是 system 权限，黑客甚至都不需要提权这个步骤 (?Д?*)?
我觉得这根本就不是迅雷团队是否消极修复的问题，而是从一开始就不应该搞什么浏览器。你说 NTQQ 那种只有简单的收发消息功能，使用 Electron 问题不大。而下载软件，是需要和系统深度交互的，且对性能要求很高，技术选型的时候就不应该用什么 Electron。明显现在的迅雷版本，都没有当年的经典版本流畅。
作为一个下载软件，更不应该添加系统服务、甚至是驱动文件。我知道迅雷官人狡辩过，解释是为了“用于 NTFS 快速申请磁盘空间、接管浏览器下载请求”。姑且信你，但你为啥退出软件后还是常驻后台呢？以及加驱动的意义又是什么？

迅雷云盘
最后，我还要吐槽一下，现在的迅雷可以当作是自家的“迅雷云盘”的客户端对吧？那么它这个屏蔽的机制是什么？我测试分享一个文件，拿上面的“版本截图”用 WinRAR 添加到压缩包，密码为 zhihu，修改文件名为 1234.rar 上传分享，就显示被屏蔽，真是有够 ZZ 的！这种糟糕体验，不知道现在迅雷还剩下几个用户？

作为一个买7945HX专门用于编译electron的Gentoo Linux用户, 可以明确的说, chromium和electron的更新周期必须短于1个月, 即chromium主版本号的发布周期, 否则就会因为落后于版本而造成根本无法backport的安全漏洞.
而在一个主版本号的发布周期内, 基本上每周chromium就会产生有CVE编号的漏洞, 一般主版本号内的更新都不会包括API变更, 因此可以快速跟进.
一旦更新周期超过一个月, 没有任何软件团队可以维持无安全漏洞的情况.
为什么Linux发行版普遍预装Firefox？110 赞同 · 11 评论回答

像迅雷这种4年不更新electron, 而且还有内核驱动的程序, 基本上会有几十个能一键内核态任意代码执行的路径.
可以参考一下electron发版的频率
https://github.com/electron/electron/releases?github.com/electron/electron/releases
根据《中华人民共和国网络安全法》
第二十二条　网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。
第六十条　违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：
（一）设置恶意程序的；
（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；
（三）擅自终止为其产品、服务提供安全维护的。

简单答一下：这就是部分互联网厂商盲目扩张业务却不管善后的结果。如果迅雷当初没想把自己的主程序发展成桌面上的互联网入口，就不会有那么多用于浏览和游戏的组件遗留在“ 山”中，抽不出精力处理了。
作为普通用户能做些什么？当然是反其道而行之，优先选用主流的浏览器去上网，一是减少漏洞被恶意网页利用的风险，二是让迅雷看到这部分业务带来的利润实在有限。除此之外能做的也不多。

这个报告危言耸听的感觉,毕竟现在很多软件都是浏览器套壳模式(electron)，不及时升级浏览器内核版本或者干脆不升级，安全漏洞无法避免【上游不修了】,但是即使你一直升级也不见得跟的上g公司的升级速度.
老鸟们经常叫现在的迅雷是迅雷操作系统(搞不明白为什么放弃原生，要用浏览器套壳,版本还老旧)，很多问题老早就发现了，但是因为国内，除了PT等少数场合，下资源除了迅雷，其他下载软件基本没速度，毕竟迅雷有大量的服务器支持,因此只能捏着鼻子在用.
这个XLSP的是个后台服务,所以是system权限，可以手动禁用自动启动，但是只要一使用迅雷或者升级一下，下次就恢复了,不好彻底禁止，事实上，带后台服务自动升级的不少软件好些存在这个安全问题，不仅仅迅雷,包括某些主板路由器的自动升级功能模块,只是曝光少而已.
目前我的做法就是，专门有一台电脑安装类似迅雷，某网盘，bt下载类软件等等各种风险软件，有下载之类的需求的时候开一下,下载完了FTP对传解决.

都用迅雷了还在乎漏洞吗？这玩意儿下载快就完了（SVIP）至于系统崩了那肯定是小网站看多了呀
迅雷包括上古IDM QQ等都带驱动所以很多时候蓝屏并不是硬件的锅

我就喜欢看那些厂商被爆料，因为这样能看到很多东西。
国产的软件，啧啧，总是有这样那样的问题。
看到迅雷这次被曝的东西，明眼人一看就清楚是留的后门。
引用一下提问中其他回答者的内容，我想我只能说，毕竟是由于国家做了一些政策，所以这些国内厂商才会统一起来这样干吧。
留后门，真行！除去有些不得不用的像qq、微信这些。不过我现在，基本不怎么用国内软件了，哈哈。

附一些旧新闻：
TikToke的RCE（原创代码执行）

TikToke的RCE
UC浏览器

UC浏览器
微信的0day

微信的0day
360偷偷上传

360偷偷上传
印象笔记可泄露信息

印象笔记可泄露信息

其实有点危言耸听，其实就是electron和chromium的漏洞，迅雷没有升级，而且关键是在于漏洞存在是存在但是你能不能利用。对于迅雷这种chromium上跑的所有页面都是迅雷自己的，而且也不拿来当做浏览器浏览外部页面的话，其实那些漏洞都没办法利用的。

迅雷被曝存在大量漏洞和过时组件，且至今仍未得到修复，这是一个严重的安全问题，可能会对用户造成潜在的风险和威胁。以下是一些可能的观点：
用户安全受到威胁：** 这些漏洞和过时组件可能会被黑客利用，从而导致用户个人信息泄露、账号被盗、计算机感染恶意软件等安全问题。因此，用户在使用迅雷时需要特别小心，尽量避免使用存在安全漏洞的版本。
责任与义务：** 作为一家知名的软件公司，迅雷有责任和义务确保其产品的安全性和稳定性。如果漏洞被发现，公司应该及时采取措施修复，保护用户的利益和隐私。如果公司没有及时修复漏洞，可能会导致用户流失和声誉受损。
用户权益保护：** 用户应该有权知晓软件存在的安全问题，并有权选择是否继续使用该软件。迅雷应该提供透明的信息，向用户披露安全漏洞和风险，并积极采取措施保护用户的权益。
行业监管：** 政府部门和行业监管机构应该加强对软件安全的监管和管理，推动软件公司加强产品安全性，保护用户的合法权益。对于存在安全漏洞且未及时修复的软件公司，应该采取相应的处罚措施。
综上所述，迅雷被曝存在大量漏洞和过时组件，且至今仍未得到修复，是一个严重的安全问题，需要引起相关方面的重视，并采取措施保护用户的利益和权益。

广告
知乎出品看山名画帆布袋梵高【点击领取奖励】
知乎自营
￥19.00
去购买?

[收藏本文] 【下载本文】

科技知识最新文章

《消失的问界里》为什么网传华为选择大面积

特斯拉万人大裁员涉及中国市场，销售部门是

媒体报道「特斯拉一天内失去 2 个高管和 10

去年是「大模型元年」，今年会是「AI应用落

2024 年人工智能方向的就业前景怎么样？

如何评价小米汽车SU7全球首例无故抛锚？

如何评价比亚迪与大疆合作发布的车载无人机

如何看待波音「吹哨人」遗言曝光：如果我出

电动汽车为什么一下爆发了？

怎么看待华为太空宽带计划？

上一篇文章下一篇文章查看所有文章

加:2024-03-16 21:32:29 更:2024-03-17 12:03:49

股票涨跌实时统计涨停板选股分时图选股跌停板选股 K线图选股成交量选股均线选股趋势线选股筹码理论波浪理论缠论 MACD指标 KDJ指标 BOLL指标 RSI指标炒股基础知识炒股故事

网站联系: qq:121756557 email:121756557@qq.com 天天财汇