聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

過去幾年，谷歌 Project Zero 團(tuán)隊(duì)已經(jīng)披露過影響 Windows 10、macOS、iOS 等平臺的嚴(yán)重安全漏洞。通常情況下，受影響的機(jī)構(gòu)將有 90 天的時(shí)間來籌備修復(fù)，然后相關(guān)漏洞詳情才會被公開披露。最新消息是，谷歌 Project Zero 團(tuán)隊(duì)剛剛披露了影響 GitHub 開源代碼托管平臺的一個(gè)“高度嚴(yán)重”的安全漏洞。

據(jù)悉，問題源于?GitHub Actions?中的工作流命令極易受到注入攻擊。而所謂的 Actions，主要負(fù)責(zé)與“動作執(zhí)行器”（Action Runner）之間的通信工作。

Felix Wilhelm 在審查源代碼時(shí)發(fā)現(xiàn)了這個(gè)嚴(yán)重的安全隱患：“當(dāng)進(jìn)程解析至 STDOUT 的每一行，以尋找工作流命令時(shí)，每個(gè) GitHub 操作都會在執(zhí)行過程中打印出不受信任的內(nèi)容”。

自 7 月 21 日發(fā)現(xiàn)該安全漏洞之后，Project Zero 團(tuán)隊(duì)已經(jīng)及時(shí)向 GitHub 方面通報(bào)了此事，并為其提供了標(biāo)準(zhǔn)的 90 天寬限期（截止 10 月 18 日）。

最終 GitHub 決定棄用易受攻擊的命令，并發(fā)出“中等嚴(yán)重的安全漏洞”的修補(bǔ)建議，通知開發(fā)者更新其工作流程。

10 月 16 日，GitHub 得到了 Project Zero 團(tuán)隊(duì)提供的額外 14 天寬限期，以完全禁用相關(guān)命令（新截止日期為 11 月 2 日）。

不過當(dāng) GitHub 試圖再申請 48 小時(shí)的寬限期后，Project Zero 覺得一再拖延并不能解決問題，并且有違標(biāo)準(zhǔn)的漏洞披露流程，于是最終還是披露了漏洞詳情和概念驗(yàn)證代碼。

（消息來源：cnBeta）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/