【軟硬體漏洞資訊】
💣💣💣資安專家利用分析工具,發現 Node.js 程式庫內超過 100 個 0-day 漏洞🕳🕳🕳
美國 Johns Hopkins 大學的兩位資安研究人員,近來在今(2022)年度的 Usenix Security Symposium 資安研討會上發表論文,指出該研究團隊利用全新開發的圖像式分析工具 ODGen 進行分析,發現廣為網頁開發人員使用的 JavaScript 開發框架 Node.js 開源程式庫內的程式碼,存有 100 個以上的 0-day 漏洞。
ODGen 可以準確發現 13 種不同的漏洞類型,包括 XSS、SSRF/CSRD、SQL 指令注入、原型污染(Prototype Pollution)、指令注入等等。該團隊也利用此工具分析廣受使用的 30 萬種 NPM 開發套件,結果發現超過 3,000 種資安漏洞,其中有 264 種存於每周下載次數超過 1,000 次的熱門套件。
由於近年來在開源程式庫中發現的惡意與非惡意漏洞逐漸增加,開發人員在下載開源程式套件使用前,必須先確認該套件為最新版本,且未遭駭侵者修改並注入惡意程式碼。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-6482-8594e-1.html
沒有留言:
張貼留言