4月23日消息，代碼托管網(wǎng)站GitHub被曝高危嚴(yán)重漏洞，存在于comment文件上傳系統(tǒng)中，黑客利用該漏洞可以分發(fā)各種惡意軟件。

用戶可以將文件上傳到指定GitHubcomment中（即便該條comment并不存在），也會(huì)自動(dòng)生成下載鏈接。此鏈接包括存儲(chǔ)庫(kù)的名稱及其所有者，可能會(huì)誘使受害者認(rèn)為該文件是合法的。

例如上傳到GitHub的文件URL地址可以表明來(lái)自微軟，但事實(shí)上該項(xiàng)目代碼中從未提及相關(guān)內(nèi)容，附上兩個(gè)案例如下：

https//github[]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.ziphttps//github[]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip

而且該漏洞并不需要任何復(fù)雜的專業(yè)技術(shù)，只需要上傳惡意文件到指定comment即可。攻擊者可以在任何受信任的存儲(chǔ)庫(kù)中上傳惡意軟件，然后通過(guò)GitHub鏈接進(jìn)行分發(fā)。

而且這些鏈接屬于GitHub官方URL域名，且后綴是“Microsoft”等官方儲(chǔ)存庫(kù)，因此用戶很大幾率認(rèn)為該URL下載鏈接的內(nèi)容是正規(guī)安全的。

GitHub目前已經(jīng)刪除了部分惡意軟件鏈接，對(duì)目前尚未修復(fù)該漏洞，對(duì)于開(kāi)發(fā)者而言，現(xiàn)階段沒(méi)有足夠有效的方法阻止這種濫用，唯一的方案就是完全禁用comment。