迅雷被安全研究人员爆锤 懈怠回应导致大量漏洞被研究人员公开 – 蓝点网 | {$randkws}热点解读 自然假如觉得三个月时间不够

可靠行业当下的惯例是探究人员察觉漏洞并通报给开发商后，开发商有三个月的时间开展修复，自然假如觉得三个月时间不够，还可以与探究人员沟通适当延长漏洞的公开透露时间。

此前可靠探究人员 Wladimir Palant 在自己的站点上手撕迅雷，指责迅雷客户端存在众多漏洞的预测影评解读速递另外，迅雷对修复岗位不积极或者说不愿意与探究人员沟通，最后结局是探究人员在期满 (90 天) 后公开了这些漏洞。

从探究人员公开的探究来看，迅雷客户端实际上就是一个筛子，上面遍布漏洞，由于迅雷以便尽或许留住使用者提供了众多特性，A股动态动态这些特性都是拼凑的。

由于漏洞以及有关详情较为多，这里我们简易梳理下，想要知晓所有漏洞及完整详情可以在探究人员的博客中查看。

下面是漏洞时间线：

2023 年 12 月 6 日～12 月 7 日：探究人员经由迅雷可靠响应中心提交了 5 个漏洞报表，实际上报表的漏洞数量更多，在报表中探究人员明确谈及最后透露时间是 2024 年 3 月 6 日。

2023 年 12 月 8 日：探究人员收到回信，迅雷可靠响应中心称已然收到报表，一旦复现漏洞将与探究人员联系 (这应该是自动回复的通知模板)。

2024 年 2 月 10 日：探究人员向迅雷提醒称距离漏洞公开只有 1 个月时间了，重磅日韩电影盘点由于有些品牌方会忘记截止日期，这个并不少见，于是探究人员发了提醒。

2024 年 02 月 17 日：迅雷可靠响应中心称对漏洞开展了测试，但漏洞尚未完全修复，也就是证实了漏洞存在，但由于 shi 山代码太多，一时三刻没法修复，为什么说是 shi 山代码看后面的说明。

附探究人员有关迅雷可靠响应中心的吐槽：限制仅经由 QQ 或微信登陆，这针对国外探究人员来说很难025霉霉合集幸好在底部还留了个邮箱。

可靠难题一：使用 2020 年 4 月的 Chromium

迅雷客户端以便尽或许留住使用者并塞广告，直接集成了一个阅读器，这个使用迅雷的使用者应该都得知，还集成了诸如播放器等特性。

但是迅雷自然不会自己开发阅读器，迅雷集成了 Chromium 阅读器，这没难题，但集成的版次还是 2020 年 5 月亮相的 83.0.4103.106 版。

这个老旧版次存在数不清的漏洞，漏洞多到令人发指，毕竟已然四年了，有众多漏洞是很正常的，并且有一些高危漏洞，而迅雷至今没有升级。

这也是前文谈及的 shi 山代码太多的缘由之一，对迅雷来说或许升级个 Chromium 版次都是很难的事情，由于要处理一大堆依赖。

可靠难题二：迅雷还集成 2018 年的 Flash Player 插件

所有阅读器都在 2020 年 12 月禁用了 Adobe Flash Player 插件，这个播放器插件也存在巨量漏洞，但迅雷直接忽略了。

迅雷内置的 Chromium 阅读器还附带了 Flash Player 29.0.0.140 版，这个版次是 2018 年 4 月亮相的，迅雷乃至都没升级到 Adobe 亮相的最后一个可靠升级。

可靠难题三：拦截恶意地址简直是搞笑

迅雷也用实际行动告诉我们什么是草台班子，迅雷内置的阅读器有拦截恶意地址的特性，含有非法站点和恶意站点等。

但迅雷还尤其做了一个白名单机制，即域名中的白名单在内置阅读器中的访问是不受限制的，白名单域名就含有迅雷自己的 xunlei.com

在初始版次中，探究人员谈及任意域名结尾追加？xunlei.com 那就能经由测试，比如 https:// 恶意站点.com/?xunlei.com，emmm… 是个大聪明。

在后续版次中探究人员删除了上面的说法，但保留了另一个难题，那就是 https:// 恶意站点.com./ 可以访问，由于迅雷无法处理 com.

可靠难题四：基于老旧的 Electron 框架开发

迅雷首要就是基于 Electron 框架开发的，但迅雷使用的版次是 83.0.4103.122 版，亮相于 2020 年 4 月份，和上面谈及 Chromium 老旧版次状况相似，也都是筛子，这也是 shi 山代码之二，迅雷肯定由于某种缘由好几年了都不敢动这些框架版次。

上面只是其中几个典型的可靠难题，探究人员在博客中还罗列了有关插件、API、过时的 SDK 等众多难题，信息较为多这里不再转述。

迅雷修复了吗？

迅雷并没有直接忽视探究人员的报表，事实上探究人员察觉自己的示例代码页面被访问，说明迅雷的工程师也的确在处理。

另外探究人员在 2 月份的迅雷新版次中还注意到迅雷删除了 Adobe Flash Player 集成，但假如使用者主动部署了，那还是会被激活。

所以可以断定迅雷并没有直接忽视漏洞，只可是由于 shi 山代码太多，一时三刻解决不了，而迅雷最大的难题就是没有及时与探究人员沟通，整整三个月迅雷除了一个自动回复外，就在 2 月份回了强调还在修复的邮件，既没有谈及是否需要延长漏洞公开时间、也没有与探究人员沟通详情。

于是到 3 月 6 日探究人员直接公开了所有漏洞，迅雷好歹也有千万级的使用者，不管是迟迟不升级框架版次还是懈怠处理漏洞，都会给使用者导致严重的可靠难题。

当下迅雷并未彻底解决探究人员谈及的所有难题 (应该只修复了一小若干？)