從編譯器后門到 JS 后門

jopen 9年前發布 | 6K 次閱讀 JS

安全研究員 Travis Goodspeed 在 DEF CON 23 上報告了利用存在 bug 的 CLANG 編譯器,在編譯時間植入提權后門漏洞,創造一個人人能獲得 root 權限的后門版 sudo。受此啟發,Lets encrypt 項目的女工程師 Yan 發現,可以利用 JS 縮小器的 bug 去植入后門。Javascript 是一個解釋性語言,它幾乎已經無處不在,縮小和優化 JS 去減少文件大小和改進性能是十分常見的事情。她注意到,利用流行 JS 縮小器(uglify-js@2.4.23)的 bug,為 jQuery 程序植入后門是可能的。概念驗證代碼發布在 Github 上。


本文轉載自: http://www.solidot.org/story?sid=45251

 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/aaab2f