安全行業(yè)目前的迅雷慣例是研究人員發(fā)現(xiàn)漏洞并通報給開發(fā)商后，開發(fā)商有三個月的被安時間進行修復(fù)，當(dāng)然如果覺得三個月時間不夠，全研合肥瑤海同城（上門服務(wù)）vx《1662-044-1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達還可以與研究人員溝通適當(dāng)延長漏洞的究人公開披露時間。

日前安全研究人員 Wladimir Palant 在自己的員爆應(yīng)導(dǎo)研究網(wǎng)站上手撕迅雷，指責(zé)迅雷客戶端存在大量漏洞的錘懈同時，迅雷對修復(fù)工作不積極或者說不愿意與研究人員溝通，怠回洞被最終結(jié)果是量漏藍點研究人員在期滿 (90 天) 后公布了這些漏洞。

從研究人員公布的公開研究來看，迅雷客戶端其實就是迅雷一個篩子，上面遍布漏洞，被安因為迅雷為了盡可能留住用戶提供了大量功能，全研合肥瑤海同城（上門服務(wù)）vx《1662-044-1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達這些功能都是究人拼湊的。

由于漏洞以及相關(guān)細節(jié)比較多，員爆應(yīng)導(dǎo)研究這里我們簡單梳理下，錘懈想要了解所有漏洞及完整細節(jié)可以在研究人員的博客中查看。

下面是漏洞時間線：

2023 年 12 月 6 日～12 月 7 日：研究人員通過迅雷安全響應(yīng)中心提交了 5 個漏洞報告，實際上報告的漏洞數(shù)量更多，在報告中研究人員明確提到最終披露時間是 2024 年 3 月 6 日。

2023 年 12 月 8 日：研究人員收到回信，迅雷安全響應(yīng)中心稱已經(jīng)收到報告，一旦復(fù)現(xiàn)漏洞將與研究人員聯(lián)系 (這應(yīng)該是自動回復(fù)的通知模板)。

2024 年 2 月 10 日：研究人員向迅雷提醒稱距離漏洞公布只有 1 個月時間了，因為有些廠商會忘記截止日期，這個并不少見，于是研究人員發(fā)了提醒。

2024 年 02 月 17 日：迅雷安全響應(yīng)中心稱對漏洞進行了驗證，但漏洞尚未完全修復(fù)，也就是確認了漏洞存在，但由于 shi 山代碼太多，一時三刻沒法修復(fù)，為什么說是 shi 山代碼看后面的說明。

附研究人員關(guān)于迅雷安全響應(yīng)中心的吐槽：限制僅通過 QQ 或微信登錄，這對于國外研究人員來說很難，幸好在底部還留了個郵箱。

安全問題一：使用 2020 年 4 月的 Chromium

迅雷客戶端為了盡可能留住用戶并塞廣告，直接集成了一個瀏覽器，這個使用迅雷的用戶應(yīng)該都知道，還集成了諸如播放器等功能。

然而迅雷當(dāng)然不會自己開發(fā)瀏覽器，迅雷集成了 Chromium 瀏覽器，這沒問題，但集成的版本還是 2020 年 5 月發(fā)布的 83.0.4103.106 版。

這個老舊版本存在數(shù)不清的漏洞，漏洞多到令人發(fā)指，畢竟已經(jīng)四年了，有大量漏洞是很正常的，而且有一些高危漏洞，而迅雷至今沒有更新。

這也是前文提到的 shi 山代碼太多的原因之一，對迅雷來說或許升級個 Chromium 版本都是很難的事情，因為要處理一大堆依賴。

安全問題二：迅雷還集成 2018 年的 Flash Player 插件

所有瀏覽器都在 2020 年 12 月禁用了 Adobe Flash Player 插件，這個播放器插件也存在巨量漏洞，但迅雷直接忽略了。

迅雷內(nèi)置的 Chromium 瀏覽器還附帶了 Flash Player 29.0.0.140 版，這個版本是 2018 年 4 月發(fā)布的，迅雷甚至都沒更新到 Adobe 發(fā)布的最后一個安全更新。

安全問題三：攔截惡意地址簡直是搞笑

迅雷也用實際行動告訴我們什么是草臺班子，迅雷內(nèi)置的瀏覽器有攔截惡意地址的功能，包括非法網(wǎng)站和惡意網(wǎng)站等。

但迅雷還特別做了一個白名單機制，即域名中的白名單在內(nèi)置瀏覽器中的訪問是不受限制的，白名單域名就包括迅雷自己的 xunlei.com

在初始版本中，研究人員提到任意域名結(jié)尾追加？xunlei.com 那就能通過驗證，比如 https:// 惡意網(wǎng)站.com/?xunlei.com，emmm… 是個大聰明。

在后續(xù)版本中研究人員刪除了上面的說法，但保留了另一個問題，那就是 https:// 惡意網(wǎng)站.com./ 可以訪問，因為迅雷無法處理 com.

安全問題四：基于老舊的 Electron 框架開發(fā)

迅雷主要就是基于 Electron 框架開發(fā)的，但迅雷使用的版本是 83.0.4103.122 版，發(fā)布于 2020 年 4 月份，和上面提到 Chromium 老舊版本情況類似，也都是篩子，這也是 shi 山代碼之二，迅雷肯定因為某種原因好幾年了都不敢動這些框架版本。

上面只是其中幾個典型的安全問題，研究人員在博客中還羅列了關(guān)于插件、API、過時的 SDK 等大量問題，內(nèi)容比較多這里不再轉(zhuǎn)述。

迅雷修復(fù)了嗎？

迅雷并沒有直接忽視研究人員的報告，事實上研究人員發(fā)現(xiàn)自己的示例代碼頁面被訪問，說明迅雷的工程師也確實在處理。

同時研究人員在 2 月份的迅雷新版本中還注意到迅雷刪除了 Adobe Flash Player 集成，但如果用戶主動安裝了，那還是會被激活。

所以可以斷定迅雷并沒有直接忽視漏洞，只不過由于 shi 山代碼太多，一時三刻解決不了，而迅雷最大的問題就是沒有及時與研究人員溝通，整整三個月迅雷除了一個自動回復(fù)外，就在 2 月份回了表示還在修復(fù)的郵件，既沒有提到是否需要延長漏洞公開時間、也沒有與研究人員溝通細節(jié)。

于是到 3 月 6 日研究人員直接公布了所有漏洞，迅雷好歹也有千萬級的用戶，無論是遲遲不更新框架版本還是懈怠處理漏洞，都會給用戶造成嚴重的安全問題。

目前迅雷并未徹底解決研究人員提到的所有問題 (應(yīng)該只修復(fù)了一小部分？)