GitHub 今天表示,仅用团队已经修复了 NPM(Node Package Manager)JavaScript 注册表中一个长期存在的小时修复问题,该问题将允许攻击者在没有适当授权的册表情况下更新任何软件包。首席安全官 Mike Hanley 昨天发布了这个问题,仅用这个问题是小时修复由安全研究人员 Kajetan Grzybowski 和 Maciej Piechota 于 11 月 2 日报告的,并在6小时内修复。册表
这一令人印象深刻的仅用速度与该漏洞存在的时间长短形成鲜明对比,据说比“我们有可用的小时修复遥测数据的时间框架要长,可以追溯到 2020 年 9 月”。册表
该漏洞是仅用基于一个熟悉的不安全模式,即系统正确地验证了一个用户,小时修复但随后允许访问超出该用户的册表权限。在这种情况下,仅用NPM 服务正确地验证了一个用户被授权更新一个包,小时修复但“对注册表数据进行底层更新的册表服务根据上传的包文件的内容来决定发布哪个包”。
NPM 是数百万开发者的重要资源;例如,最受欢迎的软件包之一是 lodash,这是一个 JavaScript 工具库,每天被下载约 700 万次。这样一个软件包的恶意版本的后果将是严重的,这就是为什么 Hanley 补充说,“我们可以非常自信地说,这个漏洞至少自2020年9月以来没有被恶意利用过”。
在今日举行的 2023 年京东 618 商家大会上,京东宣布今年 618 恰逢京东创业 20 周年,同时也将是史上助力商家增长投入最多、举措最强的 618。
2023-04-2012 月 30 日消息,安全研究专家马特・昆茨(Matt Kunze)去年向谷歌报告了 Google Home 的严重漏洞,近期获得了谷歌 107500 美元(约 74.9 万元人民币)的高额赏金。
谷歌 2022-12-30ColorOS 官方今日宣布,OPPO Find X5 和 Find X5 Pro 现已开启 ColorOS 13.0 × Android 13 正式版升级,同时一加 10 Pro 5G 也已开启 ColorOS 13.0 × Android 13 正式版升级。
OPPO 一加手机 ColorOS 2022-09-23苹果今天发布了watchOS 9.0.1,这是对9月首次亮相的watchOS 9操作系统的微小更新。watchOS 9.0.1可用于Apple Watch Ultra,对于即将收到Apple Watch Ultra的用户来说,这将是第一天的更新。
苹果 Apple Watch 2022-09-239月23日消息:在iOS 16发布后,预装搭载的IPhone 14系列出现了多个问题,例如第三方应用的相机抖动、复制粘贴时频繁请求用户批准的弹窗等。在今日凌晨,苹果推送了iOS 16.0.2正式版更新,内部版本号20A380,这些问题都已修复。
苹果 iOS 16 2022-09-23Copyright2014-2020© 卡饭网 沪ICP备2020031077号-2
卡饭网提供的所有的资源均来自互联网,如有内容侵犯您的版权或其他利益,请及时向我们提出删除。联系邮箱:kf2020@kafan.cn
(责任编辑:热点)
国产化数据库正当时!腾讯云 TDSQL 赋能金融核心系统替换
易点天下KreadoAI 升级版全新上线,加速布局AIGC战略
华润医药(03320.HK):东阿阿胶年度实现净利4328.93万元 基本每股收益0.07元