迅雷,作为一款广受欢迎的下载管理软件,近期被安全研究人员披露存在大量安全漏洞和过时组件,引起了广泛关注,以下是对迅雷漏洞的详细分析:
1、漏洞披露来源:知名安全研究人员伏拉基米尔·帕兰特在其博客上公开了迅雷存在的多个安全漏洞,这些漏洞包括使用过时的程序开发框架、集成旧版Flash Player和Chromium浏览器等。
2、主要漏洞详情:
迅雷使用了2020年的程序开发框架,但集成的是2018年的Flash Player和2020年的Chromium浏览器,这种版本不匹配可能导致安全风险。
迅雷的内嵌浏览器内核版本陈旧,为Chrome 83,且支持已被谷歌禁用的Adobe Flash Player插件,这增加了被攻击的风险。
迅雷为实现特定功能而取消了一些Chrome的保护措施,如沙盒,使得某些功能在浏览器中完全暴露,容易被任意网页调用。
XLServicePlatform服务以system权限运行,并包含XLWFP.sys和XLGuard.sys两个驱动文件,这些驱动文件可以直接从网络下发并加载插件,存在被劫持的风险。
3、用户影响与建议:
这些漏洞可能导致用户个人信息泄露、账号被盗、计算机感染恶意软件等安全问题。
用户在使用迅雷时需要特别小心,尽量避免使用存在安全漏洞的版本,并考虑优先选用主流的浏览器上网。
4、迅雷的响应:
迅雷设有专门的安全漏洞平台(XLSRC),用于接收和处理漏洞报告。
对于提交的漏洞,XLSRC将进行评估和跟踪,并根据漏洞级别进行相应的奖励。
修复时间根据漏洞的严重程度及修复难度而定,一般严重漏洞会在1个工作日内修复。
迅雷的这些安全漏洞揭示了软件更新和维护的重要性,也提醒用户在选择和使用软件时要保持警惕,这也呼吁政府部门和行业监管机构加强对软件安全的监管和管理,以保护用户的合法权益。
以上内容就是解答有关迅雷漏洞的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/69995.html
