迅雷被安全研究人員爆錘懈怠回應導致大量漏洞被研究人員公開

迅雷被安全研究人員爆錘懈怠回應導致大量漏洞被研究人員公開

Comments 0 Comment

安全產業目前的慣例是研究人員發現漏洞並通報給開發商後,開發商有三個月的時間進行修復,當然如果覺得三個月時間不夠,還可以與研究人員溝通適當延長漏洞的公開披露時間。

日前安全研究人員Wladimir Palant 在自己的網站上手撕迅雷,指責迅雷客戶端存在大量漏洞的同時,迅雷對修復工作不積極或者說不願意與研究人員溝通,最終結果是研究人員在期滿(90 天) 之後公佈了這些漏洞。

從研究人員發表的研究來看,迅雷客戶端其實就是一個篩子,上面遍布漏洞,因為迅雷為了盡可能留住用戶提供了大量功能,這些功能都是拼湊的。

由於漏洞以及相關細節比較多,這裡我們簡單梳理下,想要了解所有漏洞及完整細節可以在研究人員的部落格中查看。

下面是漏洞時間軸:

2023 年12 月6 日~12 月7 日:研究人員透過迅雷安全回應中心提交了5 個漏洞報告,實際上報告的漏洞數量更多,在報告中研究人員明確提到最終披露時間是2024 年3月6 日。

2023 年12 月8 日:研究人員收到回信,迅雷安全響應中心稱已經收到報告,一旦復現漏洞將與研究人員聯繫(這應該是自動回复的通知模板)。

2024 年2 月10 日:研究人員向迅雷提醒距離漏洞公佈只有1 個月時間了,因為有些廠商會忘記截止日期,這並不少見,於是研究人員發了提醒。

2024 年02 月17 日:迅雷安全響應中心稱對漏洞進行了驗證,但漏洞尚未完全修復,也就是確認了漏洞存在,但由於shi 山代碼太多,一時三刻沒法修復,為什麼說是shi山代碼看後面的說明。

附研究人員關於迅雷安全響應中心的吐槽:限制僅透過QQ 或微信登錄,這對於國外研究人員來說很難,幸好在底部還留了個郵箱。

安全問題一:使用2020 年4 月的Chromium

迅雷客戶端為了盡可能留住用戶並塞廣告,直接整合了一個瀏覽器,這個使用迅雷的用戶應該都知道,還整合了諸如播放器等功能。

然而迅雷當然不會自己開發瀏覽器,迅雷整合了Chromium 瀏覽器,這沒問題,但整合的版本還是2020 年5 月發布的83.0.4103.106 版。

這個老舊版本存在數不清的漏洞,漏洞多到令人髮指,畢竟已經四年了,有大量漏洞是很正常的,而且有一些高危險漏洞,而迅雷至今沒有更新。

這也是前文提到的shi 山程式碼太多的原因之一,對迅雷來說或許升級個Chromium 版本都是很難的事情,因為要處理一大堆依賴。

安全問題二:迅雷也整合2018 年的Flash Player 插件

所有瀏覽器都在2020 年12 月停用了Adobe Flash Player 插件,這個播放器插件也存在巨量漏洞,但迅雷直接忽略了。

迅雷內建的Chromium 瀏覽器還附帶了Flash Player 29.0.0.140 版,這個版本是2018 年4 月發布的,迅雷甚至都沒更新到Adobe 發布的最後一個安全更新。

安全問題三:攔截惡意位址簡直是搞笑

迅雷也用實際行動告訴我們什麼是草台班子,迅雷內建的瀏覽器有攔截惡意位址的功能,包括非法網站和惡意網站等。

但迅雷也特別做了一個白名單機制,即網域中的白名單在內建瀏覽器中的存取是不受限制的,白名單網域就包括迅雷自己的xunlei.com

在初始版本中,研究人員提到任意網域結尾追加?xunlei.com 那就能通過驗證,例如https:// 惡意網站.com/?xunlei.com,emmm… 是個大聰明。

在後續版本中研究人員刪除了上面的說法,但保留了另一個問題,那就是https:// 惡意網站.com./ 可以訪問,因為迅雷無法處理com.

安全問題四:基於老舊的Electron 框架開發

迅雷主要是基於Electron 框架開發的,但迅雷使用的版本是830.4103.122 版,發佈於2020 年4 月份,和上面提到Chromium 老舊版本情況類似,也都是篩子,這也是shi 山代碼之二,迅雷肯定因為某些原因好幾年了都不敢動這些框架版本。

上面只是其中幾個典型的安全問題,研究人員在部落格中還羅列了關於插件、API、過時的SDK 等大量問題,內容比較多這裡不再轉述。

迅雷修復了嗎?

迅雷並沒有直接忽視研究人員的報告,事實上研究人員發現自己的實例代碼頁面被訪問,說明迅雷的工程師也確實在處理。

同時研究人員在2 月的迅雷新版本中也注意到迅雷刪除了Adobe Flash Player 集成,但如果用戶主動安裝了,那還是會被啟動。

所以可以斷定迅雷並沒有直接忽視漏洞,只不過由於shi 山代碼太多,一時三刻解決不了,而迅雷最大的問題就是沒有及時與研究人員溝通,整整三個月迅雷除了一個自動回復外,就在2 月回覆了表示還在修復的郵件,既沒有提到是否需要延長漏洞公開時間、也沒有與研究人員溝通細節。

於是到3 月6 日研究人員直接公佈了所有漏洞,迅雷好歹也有千萬級的用戶,無論是遲遲不更新框架版本還是懈怠處理漏洞,都會對用戶造成嚴重的安全問題。

目前迅雷並未徹底解決研究人員提到的所有問題(應該只修復了一小部分?),建議使用迅雷的用戶注意安全,如果不經常使用的話,可以考慮直接卸載掉。

來源:藍點網

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料