日前安全研究人员 Wladimir Palant 在自己的网站上手撕迅雷,指责迅雷客户端存在大量漏洞的同时,迅雷对修复工作不积极或者说不愿意与研究人员沟通,最终结果是研究人员在期满 (90 天) 后公布了这些漏洞。
从研究人员公布的研究来看,迅雷客户端其实就是一个筛子,上面遍布漏洞,因为迅雷为了尽可能留住用户提供了大量功能,这些功能都是拼凑的。以下是研究人员发现的问题:
安全问题一:使用 2020 年 4 月的 Chromium
安全问题二:迅雷还集成 2018 年的 Flash Player 插件
安全问题三:拦截恶意地址毫无作为
安全问题四:基于老旧的 Electron 框架开发
迅雷并没有直接忽视研究人员的报告,事实上研究人员发现自己的示例代码页面被访问,说明迅雷的工程师也确实在处理。只不过由于过去欠的债太多了,一时三刻解决不了,而迅雷最大的问题就是没有及时与研究人员沟通,整整三个月迅雷除了一个自动回复外,就在 2 月份回了表示还在修复的邮件,既没有提到是否需要延长漏洞公开时间、也没有与研究人员沟通细节。
