主页 > 软件信息技术 > JavaScript包管理器npm团队针对新的“二进制植入”错误发出警告

JavaScript包管理器npm团队针对新的“二进制植入”错误发出警告

lc8乐橙官网 软件信息技术 2021年03月31日
本文摘要:Npm团队前不久公布了安全警报,提议全部用户升级到最新版(6.13.4),以避免 “二进制植入”(binaryplanting)进攻。Npm开发者表明,npm命令行界面(CLI)手机客户端遭受了网络安全问题的危害,另外包含文档解析xml和随意文档(遮盖)载入难题。网络攻击能够利用该不正确来植入故意二进制文件或遮盖用户电子计算机上的文档。 仅在根据npmCLI安裝受感柒的的npm软件包期内,才可以利用此系统漏洞。

lc8乐橙官网

Npm团队前不久公布了安全警报,提议全部用户升级到最新版(6.13.4),以避免 “二进制植入”(binaryplanting)进攻。Npm开发者表明,npm命令行界面(CLI)手机客户端遭受了网络安全问题的危害,另外包含文档解析xml和随意文档(遮盖)载入难题。网络攻击能够利用该不正确来植入故意二进制文件或遮盖用户电子计算机上的文档。

仅在根据npmCLI安裝受感柒的的npm软件包期内,才可以利用此系统漏洞。现阶段,Npm团队一直在扫描仪很有可能包括致力于利用此bug的故意软件包,尚未发觉一切异常实例。她们觉得这并不可以确保该bug早已被应用过,還是得保持警惕。

该团队表明将再次开展监控,“可是,我们不能扫描仪全部很有可能的npm软件包来源于(独享注册表文件、镜像系统、git仓库等),因而尽早升级十分关键。”除开npm以外,另一个JavaScript包管理工具yarn也会遭受危害。

在这周稍早,伴随着yarn1.21.1的公布,这一bug已在yarn中恢复。相较为下,该难题对npm用户的危害核对yarn的危害更高。由于npm不但是较大 的JavaScript软件包管理方法运用,并且還是全部计算机语言的较大 软件包储存库,有着超出350,000个库。

从电脑浏览器到金融业应用程序,从台式电脑到网络服务器,JavaScript现如今无所不在。由于npm在JavaScript生态体系中具备这般关键的功效,因此 它常常被乱用。网络黑客的终极目标是在应用受感柒的npm软件包搭建的应用程序內部进行进攻或植入木马程序,这种应用程序之后可用以从它的用户那边盗取数据信息。

以往有很多那样的实例。曾在17年10月,npm团队删除了38个JavaScriptnpm软件包,这种软件包是以别的新项目中盗取系统变量而捕捉的,致力于搜集新项目比较敏感信息内容,比如登陆密码或API密匙。全新的这一系统漏洞最开始是由法国安全性研究者DanielRuf发觉的,他的blog上面有更深层次的技术报告。最终,再度提示用户们升級到最新版,以防遭到进攻。

信息源:https://www.zdnet.com/article/npm-team-warns-of-new-binary-planting-bug/。


本文关键词:JavaScript,包,管理器,npm,团队,针对,新的,“,Npm,lc8乐橙官网

本文来源:lc8乐橙官网-www.light-bugs.com

标签: JavaScript       新的   团队   针对   管理器   npm