Clash Verge rev曝出提权漏洞,用户需注意但无需恐慌
近日,有推特用户披露知名代理工具 Clash Verge rev 存在提权漏洞,影响包括 Mac、Linux 及 Windows 系统。根据已公开的信息,即使是最新的 2.2.4-alpha 版本也未能幸免。目前开发组已定位 service 提权漏洞原因,正在修复。
提权漏洞指的是程序由于设计缺陷,被攻击者利用,在不应当拥有高权限的情况下获得系统级控制权。在本次 Clash Verge rev 的漏洞中:
• 在Mac和Linux上,攻击者可以提升到最高的 root 权限;
• 在Windows上,可以提权到系统内部的 SYSTEM 账户。
不过需要强调的是,这类漏洞本身并不会直接让远程黑客入侵你的设备。目前 Clash Verge rev 的问题属于本地提权,不是远程攻击漏洞,因此不必过度恐慌。
在补丁发布之前,如果你正在使用 Clash Verge rev,可以采取以下简单措施,大幅降低风险:
• 禁用守护进程模式:
守护进程(daemon/service)是高权限运行的,容易成为攻击目标。请在设置中关闭自动后台启动,让 Clash Verge 以普通应用方式运行。
• 仅用官方版本:
请勿下载来源不明的版本或修改版,以防被植入恶意代码。
• 最小权限使用:
如果可以,避免以管理员身份运行 Clash Verge rev,仅在普通用户权限下操作。
• 保持系统安全防护:
确保操作系统更新、杀毒软件启用,同时谨慎下载或打开陌生文件。
信源:
https://github.com/clash-verge-rev/clash-verge-rev/issues/3428