在上周,思科Talos團隊在三維動畫制作軟件Blender中發(fā)現(xiàn)了多個未修補的漏洞,可能允許攻擊者在受影響計算機上執(zhí)行任意代碼。
Blender是一款免費且開源的跨平臺全能三維動畫制作軟件,提供從建模、動畫、材質(zhì)、渲染、到音頻處理、視頻剪輯等一系列動畫短片制作解決方案。
Talos團隊表示,大多數(shù)漏洞屬于整數(shù)溢出遠程代碼執(zhí)行漏洞。這是由Blender中不正確解析和處理文件而產(chǎn)生的不良結(jié)果,它導致多個潛在的整數(shù)溢出或緩沖區(qū)溢出情況。
利用這些漏洞所需的具體條件各不相同,但通常需要受害者使用安裝在本地系統(tǒng)上的Blender打開特制的惡意文件。攻擊者可以這些惡意文件上傳到GitHub、Google Drive和Dropbox等網(wǎng)站,以便與預期的受害者共享。
另一種更典型的攻擊形式可能被運用,那就是網(wǎng)絡釣魚攻擊。攻擊者可以結(jié)合使用社交工程手段和魚叉式電子郵件來傳播惡意文件,以通過遠程來攻擊目標受害者。
Talos團隊已經(jīng)向Blender通報了這一發(fā)現(xiàn),但Blender已經(jīng)明確表示拒絕修補這些漏洞。
Blender的發(fā)言人說:“逐一解決這些問題是在浪費時間,使用Blender打開文件應該被認為是像使用Python解釋器打開一個文件一樣,你首先需要確認文件能夠足以被信任。”
該發(fā)言人補充說:“在我看來,這的確是一個我們應該處理的有效報告。但其嚴重性并不足以讓我們放棄所有的工作,耗費我們有限的資源。需要注意的是,利用這些漏洞發(fā)起惡意攻擊,前提是用戶下載了惡意文件。這并不影響軟件的正常使用,也不會影響到任何從可靠來源下載文件的用戶。”
京公網(wǎng)安備 11010502049343號