滂沱大雨网 百科
快捷导航
您的位置:首页>百科>>迅雷被安全研究人员爆锤 懈怠回应导致大量漏洞被研究人员公开 – 蓝点网 >

迅雷被安全研究人员爆锤 懈怠回应导致大量漏洞被研究人员公开 – 蓝点网

  发布时间:2025-05-05 02:11:05   作者:玩站小弟   我要评论
安全行业目前的惯例是研究人员发现漏洞并通报给开发商后,开发商有三个月的时间进行修复,当然如果觉得三个月时间不够,还可以与研究人员沟通适当延长漏洞的公开披露时间。日前安全研究人员 Wladimir Pa 。

安全行业目前的迅雷惯例是研究人员发现漏洞并通报给开发商后,开发商有三个月的被安时间进行修复,当然如果觉得三个月时间不够,全研还可以与研究人员沟通适当延长漏洞的究人公开披露时间。

日前安全研究人员 Wladimir Palant 在自己的员爆应导研究网站上手撕迅雷,指责迅雷客户端存在大量漏洞的锤懈同时,迅雷对修复工作不积极或者说不愿意与研究人员沟通,怠回洞被最终结果是量漏蓝点研究人员在期满 (90 天) 后公布了这些漏洞。

从研究人员公布的公开研究来看,迅雷客户端其实就是迅雷一个筛子,上面遍布漏洞,被安因为迅雷为了尽可能留住用户提供了大量功能,全研这些功能都是究人拼凑的。

由于漏洞以及相关细节比较多,员爆应导研究这里我们简单梳理下,锤懈想要了解所有漏洞及完整细节可以在研究人员的博客中查看。

迅雷下载被安全研究人员爆锤 懈怠回应导致大量漏洞被研究人员公开

下面是漏洞时间线:

2023 年 12 月 6 日~12 月 7 日:研究人员通过迅雷安全响应中心提交了 5 个漏洞报告,实际上报告的漏洞数量更多,在报告中研究人员明确提到最终披露时间是 2024 年 3 月 6 日。

2023 年 12 月 8 日:研究人员收到回信,迅雷安全响应中心称已经收到报告,一旦复现漏洞将与研究人员联系 (这应该是自动回复的通知模板)。

2024 年 2 月 10 日:研究人员向迅雷提醒称距离漏洞公布只有 1 个月时间了,因为有些厂商会忘记截止日期,这个并不少见,于是研究人员发了提醒。

2024 年 02 月 17 日:迅雷安全响应中心称对漏洞进行了验证,但漏洞尚未完全修复,也就是确认了漏洞存在,但由于 shi 山代码太多,一时三刻没法修复,为什么说是 shi 山代码看后面的说明。

附研究人员关于迅雷安全响应中心的吐槽:限制仅通过 QQ 或微信登录,这对于国外研究人员来说很难,幸好在底部还留了个邮箱。

安全问题一:使用 2020 年 4 月的 Chromium

迅雷客户端为了尽可能留住用户并塞广告,直接集成了一个浏览器,这个使用迅雷的用户应该都知道,还集成了诸如播放器等功能。

然而迅雷当然不会自己开发浏览器,迅雷集成了 Chromium 浏览器,这没问题,但集成的版本还是 2020 年 5 月发布的 83.0.4103.106 版。

这个老旧版本存在数不清的漏洞,漏洞多到令人发指,毕竟已经四年了,有大量漏洞是很正常的,而且有一些高危漏洞,而迅雷至今没有更新。

这也是前文提到的 shi 山代码太多的原因之一,对迅雷来说或许升级个 Chromium 版本都是很难的事情,因为要处理一大堆依赖。

安全问题二:迅雷还集成 2018 年的 Flash Player 插件

所有浏览器都在 2020 年 12 月禁用了 Adobe Flash Player 插件,这个播放器插件也存在巨量漏洞,但迅雷直接忽略了。

迅雷内置的 Chromium 浏览器还附带了 Flash Player 29.0.0.140 版,这个版本是 2018 年 4 月发布的,迅雷甚至都没更新到 Adobe 发布的最后一个安全更新。

安全问题三:拦截恶意地址简直是搞笑

迅雷也用实际行动告诉我们什么是草台班子,迅雷内置的浏览器有拦截恶意地址的功能,包括非法网站和恶意网站等。

但迅雷还特别做了一个白名单机制,即域名中的白名单在内置浏览器中的访问是不受限制的,白名单域名就包括迅雷自己的 xunlei.com

在初始版本中,研究人员提到任意域名结尾追加?xunlei.com 那就能通过验证,比如 https:// 恶意网站.com/?xunlei.com,emmm… 是个大聪明。

在后续版本中研究人员删除了上面的说法,但保留了另一个问题,那就是 https:// 恶意网站.com./ 可以访问,因为迅雷无法处理 com.

安全问题四:基于老旧的 Electron 框架开发

迅雷主要就是基于 Electron 框架开发的,但迅雷使用的版本是 83.0.4103.122 版,发布于 2020 年 4 月份,和上面提到 Chromium 老旧版本情况类似,也都是筛子,这也是 shi 山代码之二,迅雷肯定因为某种原因好几年了都不敢动这些框架版本。

上面只是其中几个典型的安全问题,研究人员在博客中还罗列了关于插件、API、过时的 SDK 等大量问题,内容比较多这里不再转述。

迅雷修复了吗?

迅雷并没有直接忽视研究人员的报告,事实上研究人员发现自己的示例代码页面被访问,说明迅雷的工程师也确实在处理。

同时研究人员在 2 月份的迅雷新版本中还注意到迅雷删除了 Adobe Flash Player 集成,但如果用户主动安装了,那还是会被激活。

所以可以断定迅雷并没有直接忽视漏洞,只不过由于 shi 山代码太多,一时三刻解决不了,而迅雷最大的问题就是没有及时与研究人员沟通,整整三个月迅雷除了一个自动回复外,就在 2 月份回了表示还在修复的邮件,既没有提到是否需要延长漏洞公开时间、也没有与研究人员沟通细节。

于是到 3 月 6 日研究人员直接公布了所有漏洞,迅雷好歹也有千万级的用户,无论是迟迟不更新框架版本还是懈怠处理漏洞,都会给用户造成严重的安全问题。

目前迅雷并未彻底解决研究人员提到的所有问题 (应该只修复了一小部分?)

  • Tag:

相关文章

  • 《灵魂能力6》新角色吉光宣传片 采用虚幻4开发

    最近灵魂能力6的新消息放出,官方公布了新角色吉光的宣传片,从中可以看到这个角色具有非常不错的外形,可能很多小伙伴也是非常喜欢这款游戏,有兴趣可以看看下面介绍。看来BANDAI NAMCO对于《灵魂能力
    2025-05-05

  • 《卧龙:彼苍陨降》PC建设公布,最低仅需GTX 1650

    名看特库摩于远日公布了暗乌三国诛逝世游戏《卧龙:彼苍陨降》的PC 建设要供,最低绘里仅需 i5-8400 + GTX 1650 4GB 便可流畅玩耍,保举形式则需供 i7-8700 + 2060 6G
    2025-05-05

  • 逝世保守仄台 水狐将支撑Win7/Win8.1至2024年

    自从微硬正在本年1月颁布收表正式停止对Win7战Win8.1体系的民圆支撑,包露Chrome正在内的大年夜量第三圆硬件便前后颁布收表将停止对那些旧仄台的保护。但正在那股放弃Win7战Win8.1的大年
    2025-05-05

  • RX7900XTX运转《霍格沃茨之遗》竟比4090快40帧!

    《霍格沃茨之遗》即将正在来日诰日正式公布,英伟达公布了一款新的驱动法度,为那款游戏增减了新的建设文件。但仿佛英伟达借有很多工做要做,果为RX7900XTX正在1080p/Ultra设置/无光遁时的速率
    2025-05-05

  • 帝国模拟养成《我的可爱皇后》8月21日正式发售

    帝国模拟养成《我的可爱皇后》8月21日正式发售2024-07-26 10:42:42编辑:柒柒 《我的可爱皇后》开发团队一
    2025-05-05

  • 宜昌百里荒山查树之天 山查树之恋拍摄天

    正在湖北宜昌有一个爱情的晨圣天,那个处所的名字便叫做百里荒,大年夜家真正在很多人皆是看张艺谋的电影估计才晓得那个处所。是的,那个处所便是张艺谋的山查树之恋的拍摄天。借记得静秋跟老三的那棵相知相爱的山查
    2025-05-05

最新评论