| |
首页 淘股吧 股票涨跌实时统计 涨停板选股 股票入门 股票书籍 股票问答 分时图选股 跌停板选股 K线图选股 成交量选股 [平安银行] |
股市论谈 均线选股 趋势线选股 筹码理论 波浪理论 缠论 MACD指标 KDJ指标 BOLL指标 RSI指标 炒股基础知识 炒股故事 |
商业财经 科技知识 汽车百科 工程技术 自然科学 家居生活 设计艺术 财经视频 游戏-- |
天天财汇 -> 科技知识 -> 如何看待迅雷被曝存在大量漏洞和过时组件,且至今仍未得到修复? -> 正文阅读 |
|
[科技知识]如何看待迅雷被曝存在大量漏洞和过时组件,且至今仍未得到修复? |
[收藏本文] 【下载本文】 |
漏洞披露来源: Numerous vulnerabilities in Xunlei Accelerator application 相关问题: 迅雷… |
Emmm,我看完了这篇英文报告,怎么说呢…… 意料之中,感觉没有什么太多的新东西,所以根本不意外。恐怕迅雷自己也觉得这几个问题,说大不大,有点消极处理的态度。下面我给大家翻译成人话,就好懂了。 首先,就是一直最让人诟病的浏览器问题。迅雷从放弃自家 BOLT 界面引擎之后,就转向内嵌浏览器,即 Electron 框架。那么,浏览器该有的漏洞,它一样也有,这取决于是否积极更新框架内核。 |
|
迅雷浏览器内核版本 如上图所示,我们可以看到最新版本的迅雷 12(截至文章时间)内嵌的浏览器内核版本仍然是陈旧的 Chrome 83。在此前,它还是支持 Adobe Flash Player 插件的,这可能也是迅雷团队执着于老版本的原因,因为从 Chrome 88 开始谷歌完全禁用了 Flash 插件。 然后,除去低版本浏览器和 Flash 本身的漏洞之外,迅雷为实现和自身功能的一些交互(比如:网址审查、视频自动播放、接口查询)额外取消了一些 Chrome 的保护措施(比如:沙盒)。使得这些功能在浏览器中完全暴漏,被任意网页调用。 另外包括 HTTPS 中间人攻击、HTTP 劫持,这些漏洞其实也没老外说的那么危言耸听啦。不会真的还有人用迅雷去浏览网页的吧?不会吧?不会吧?Flash 在国内也活得好好的,因为就是有这个需求,它就是有人喜欢用,你能咋地? 但是,那么重点来了,还有一个 XLServicePlatform 服务,是 system 权限运行的,并且有 XLWFP.sys 和 XLGuard.sys 这两个驱动文件,这就细思极恐了 =_=||| 它居然可以直接从网络下发插件并被加载,下发地址:http://plugin.pc.xunlei.com/config/XLServicePlatform_12.0.3.xml
这妥妥的是一个后门程序呀!如果被劫持的话,就直接加载恶意插件了,且本身就是 system 权限,黑客甚至都不需要提权这个步骤 (?Д?*)? 我觉得这根本就不是迅雷团队是否消极修复的问题,而是从一开始就不应该搞什么浏览器。你说 NTQQ 那种只有简单的收发消息功能,使用 Electron 问题不大。而下载软件,是需要和系统深度交互的,且对性能要求很高,技术选型的时候就不应该用什么 Electron。明显现在的迅雷版本,都没有当年的经典版本流畅。 作为一个下载软件,更不应该添加系统服务、甚至是驱动文件。我知道迅雷官人狡辩过,解释是为了“用于 NTFS 快速申请磁盘空间、接管浏览器下载请求”。姑且信你,但你为啥退出软件后还是常驻后台呢?以及加驱动的意义又是什么? |
|
迅雷云盘 最后,我还要吐槽一下,现在的迅雷可以当作是自家的“迅雷云盘”的客户端对吧?那么它这个屏蔽的机制是什么?我测试分享一个文件,拿上面的“版本截图”用 WinRAR 添加到压缩包,密码为 zhihu,修改文件名为 1234.rar 上传分享,就显示被屏蔽,真是有够 ZZ 的!这种糟糕体验,不知道现在迅雷还剩下几个用户? |
作为一个买7945HX专门用于编译electron的Gentoo Linux用户, 可以明确的说, chromium和electron的更新周期必须短于1个月, 即chromium主版本号的发布周期, 否则就会因为落后于版本而造成根本无法backport的安全漏洞. 而在一个主版本号的发布周期内, 基本上每周chromium就会产生有CVE编号的漏洞, 一般主版本号内的更新都不会包括API变更, 因此可以快速跟进. 一旦更新周期超过一个月, 没有任何软件团队可以维持无安全漏洞的情况. 为什么Linux发行版普遍预装Firefox?110 赞同 · 11 评论回答 |
|
像迅雷这种4年不更新electron, 而且还有内核驱动的程序, 基本上会有几十个能一键内核态任意代码执行的路径. 可以参考一下electron发版的频率 https://github.com/electron/electron/releases?github.com/electron/electron/releases 根据《中华人民共和国网络安全法》 第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款: (一)设置恶意程序的; (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (三)擅自终止为其产品、服务提供安全维护的。 |
简单答一下:这就是部分互联网厂商盲目扩张业务却不管善后的结果。如果迅雷当初没想把自己的主程序发展成桌面上的互联网入口,就不会有那么多用于浏览和游戏的组件遗留在“ 山”中,抽不出精力处理了。 作为普通用户能做些什么?当然是反其道而行之,优先选用主流的浏览器去上网,一是减少漏洞被恶意网页利用的风险,二是让迅雷看到这部分业务带来的利润实在有限。除此之外能做的也不多。 |
这个报告危言耸听的感觉,毕竟现在很多软件都是浏览器套壳模式(electron),不及时升级浏览器内核版本或者干脆不升级,安全漏洞无法避免【上游不修了】,但是即使你一直升级也不见得跟的上g公司的升级速度. 老鸟们经常叫现在的迅雷是迅雷操作系统(搞不明白为什么放弃原生,要用浏览器套壳,版本还老旧),很多问题老早就发现了,但是因为国内,除了PT等少数场合,下资源除了迅雷,其他下载软件基本没速度,毕竟迅雷有大量的服务器支持,因此只能捏着鼻子在用. 这个XLSP的是个后台服务,所以是system权限,可以手动禁用自动启动,但是只要一使用迅雷或者升级一下,下次就恢复了,不好彻底禁止,事实上,带后台服务自动升级的不少软件好些存在这个安全问题,不仅仅迅雷,包括某些主板路由器的自动升级功能模块,只是曝光少而已. 目前我的做法就是,专门有一台电脑安装类似迅雷,某网盘,bt下载类软件等等各种风险软件,有下载之类的需求的时候开一下,下载完了FTP对传解决. |
都用迅雷了 还在乎漏洞吗?这玩意儿下载快就完了(SVIP) 至于系统崩了 那肯定是小网站看多了呀 迅雷包括上古IDM QQ等 都带驱动 所以很多时候蓝屏并不是硬件的锅 |
我就喜欢看那些厂商被爆料,因为这样能看到很多东西。 国产的软件,啧啧,总是有这样那样的问题。 看到迅雷这次被曝的东西,明眼人一看就清楚是留的后门。 引用一下提问中其他回答者的内容,我想我只能说,毕竟是由于国家做了一些政策,所以这些国内厂商才会统一起来这样干吧。 留后门,真行!除去有些不得不用的像qq、微信这些。不过我现在,基本不怎么用国内软件了,哈哈。 |
|
附一些旧新闻: TikToke的RCE(原创代码执行) |
|
TikToke的RCE UC浏览器 |
|
UC浏览器 微信的0day |
|
微信的0day 360偷偷上传 |
|
360偷偷上传 印象笔记可泄露信息 |
|
印象笔记可泄露信息 |
其实有点危言耸听,其实就是electron和chromium的漏洞,迅雷没有升级,而且关键是在于漏洞存在是存在但是你能不能利用。对于迅雷这种chromium上跑的所有页面都是迅雷自己的,而且也不拿来当做浏览器浏览外部页面的话,其实那些漏洞都没办法利用的。 |
|
迅雷被曝存在大量漏洞和过时组件,且至今仍未得到修复,这是一个严重的安全问题,可能会对用户造成潜在的风险和威胁。以下是一些可能的观点: 用户安全受到威胁:** 这些漏洞和过时组件可能会被黑客利用,从而导致用户个人信息泄露、账号被盗、计算机感染恶意软件等安全问题。因此,用户在使用迅雷时需要特别小心,尽量避免使用存在安全漏洞的版本。 责任与义务:** 作为一家知名的软件公司,迅雷有责任和义务确保其产品的安全性和稳定性。如果漏洞被发现,公司应该及时采取措施修复,保护用户的利益和隐私。如果公司没有及时修复漏洞,可能会导致用户流失和声誉受损。 用户权益保护:** 用户应该有权知晓软件存在的安全问题,并有权选择是否继续使用该软件。迅雷应该提供透明的信息,向用户披露安全漏洞和风险,并积极采取措施保护用户的权益。 行业监管:** 政府部门和行业监管机构应该加强对软件安全的监管和管理,推动软件公司加强产品安全性,保护用户的合法权益。对于存在安全漏洞且未及时修复的软件公司,应该采取相应的处罚措施。 综上所述,迅雷被曝存在大量漏洞和过时组件,且至今仍未得到修复,是一个严重的安全问题,需要引起相关方面的重视,并采取措施保护用户的利益和权益。 |
|
广告 知乎出品 看山名画帆布袋 梵高【点击领取奖励】 知乎自营 ¥19.00 去购买? |
|
[收藏本文] 【下载本文】 |
上一篇文章 下一篇文章 查看所有文章 |
|
|
股票涨跌实时统计 涨停板选股 分时图选股 跌停板选股 K线图选股 成交量选股 均线选股 趋势线选股 筹码理论 波浪理论 缠论 MACD指标 KDJ指标 BOLL指标 RSI指标 炒股基础知识 炒股故事 |
网站联系: qq:121756557 email:121756557@qq.com 天天财汇 |