从编译器后门到JS后门

安全研究员在Travis Goodspeed在DEF CON 23 上报告了利用存在bug的CLANG编译器,在编译时间植入提权后门漏洞,创造一个人人能获得root权限的后门版sudo。受此启发,Lets encrypt项目的女工程师Yan发现,可以利用JS缩小器的bug去植入后门。Javascript是一个解释性语言,它几乎已经无处不在,缩小和优化JS去减少文件大小和改进性能是十分常见的事情。她注意到,利用流行JS缩小器(uglify-js@2.4.23)的bug,为jQuery 程序植入后门是可能的。概念验证代码发布在Github上。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/b5c3cded8b57b2b9ab92d29a7c157d77.html