IT之家 2 月 11 日消息 安全研究人員 Alex Birsan 發(fā)現(xiàn)了一個安全漏洞，允許他在蘋果、微軟、PayPal 和其他 30 多家公司擁有的服務(wù)器上運行代碼。

該漏洞利用了一個相對簡單的技巧：用公共軟件包替換私有軟件包。公司在構(gòu)建程序的時候，往往會使用其他人編寫的開源代碼，所以他們不會花費時間和資源去解決一個已經(jīng)解決的問題。

在 NodeJS 的 npm、PyPi 的 PyPi 和 Ruby 的 RubyGems 等資源庫上都可以找到這些公開的程序。值得注意的是，Birsan 發(fā)現(xiàn)這些資源庫可以用來進行這種攻擊，但并不限于這三種。

IT之家了解到，除了這些公開的包，公司往往會建立自己的私有包，他們不會上傳，而是在自己的開發(fā)者中分發(fā)。Birsan 就是在這里發(fā)現(xiàn)了這個漏洞。他發(fā)現(xiàn)，如果他能找到公司使用的私有包的名稱（大多數(shù)情況下是非常容易的），他就可以把自己的代碼上傳到一個同名的公共倉庫中，公司的自動化系統(tǒng)就會使用他的代碼來代替。他們不僅會下載他的包而不是正確的包，而且還會運行里面的代碼。

用一個例子來解釋這個問題，想象一下，你的電腦上有一個 Word 文檔，但是當(dāng)你去打開它的時候，你的電腦說：“嘿，互聯(lián)網(wǎng)上還有一個同名的 Word 文檔。我還是打開那個吧?！边@樣，那個 Word 文檔就可以自動對你的電腦進行修改。

根據(jù) Birsan 的說法，他所聯(lián)系的大多數(shù)關(guān)于該漏洞的公司都能夠迅速修補他們的系統(tǒng)。微軟甚至還整理了一份白皮書，解釋系統(tǒng)管理員如何保護他們的公司免受這類攻擊，但坦率地說，有人花了這么長時間才發(fā)現(xiàn)這些龐大的公司容易受到這類攻擊，實在令人吃驚。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。