安全研究员发现ToDesktop构建容器中的严重漏洞
2025-02-28
一位安全研究员在调查AI文本编辑器Cursor的安装程序时,意外发现其依赖的Electron应用打包服务ToDesktop存在严重安全漏洞。通过一系列的逆向工程和漏洞利用,研究员获得了ToDesktop构建容器的完全控制权,并获得了访问其Firebase数据库的权限,其中包含用于签署和上传应用程序的敏感密钥。更可怕的是,这使得攻击者能够向数百万用户部署恶意更新,从而实现远程代码执行(RCE)。ToDesktop团队迅速响应,修复了该漏洞,并对研究员的贡献表示感谢。此事件凸显了在软件供应链安全方面,需要持续关注和改进。
科技