banner1

即时通讯聊天软件

gitter是一款免费、跨平台的即时通讯聊天软件,通过丰富便捷的社区、聊天室功能支持,极大地降低用户的沟通交流成本。

bannerson

关于Gitter XSS加密挖矿安全漏洞通知

2018-04-11 15:14:00
Eric Eastwood
转贴:
gitter blog
836

漏洞简介

这是KaTeX解析器中的一个XSS漏洞,通过发送一条挖掘式的消息在客户端嵌入javascript加密挖矿代码。

挖掘式消息散布在25个聊天室,并且146个用户阅读到这些消息。这些消息在被完全清理之前可用约1小时。

用户修复方法

要检查您是否中招了,可以打开devtools(在页面上右击 -> inspect项),然后在“Elements”(Chrome浏览器)或“inspector”(火狐浏览器)中,搜索脚本代码。你也可以查看自己电脑CPU是否正以100%使用率运行,因为被作为矿工通常会用尽所有可用资源。

刷新页面足以阻止漏洞,但该进程很可能会挂起,您需要通过浏览器或系统任务管理器手动关闭该进程以再次完全重新加载。

如果您使用的是桌面应用程序,最好安全地使用它并关闭该进程。

Gitter修复策略

我们已经对我们的服务器进行了打补丁,以确保漏洞不再起作用,并清除包含漏洞的任何消息。

为了让受影响的用户采取行动,我们手动对客户端进行了刷新,这会刷新页面(在此期间仍会继续挖矿),但是在能够再次与Gitter进行交互之前,需要终止/刷新。

我们将在接下来的几天内为gitterHQ / gitter-markdown-processor创建一个修复程序,以便保持修补。

我们对此事件以及由此产生的硬件滥用情况,表示歉意。

要报告Gitter的安全问题,请遵循我们的 保密协议(Gitter已被GitLab收购)。


(本文由Gavin Hsueh 译,由 renee校对)

发表评论
评论通过审核后显示。
文章分类
联系我们

联系人:薛先生

QQ:753391279

邮箱:xuecaijie@cnezsoft.com

喧喧开源IM群:367833155