https://t.me/MlgmXyysd_bibilailai/286今天abc看了啥🤔引用:: 具体过程: 问题根源在 MlgmXyysd ,他写的manager获取最新构建时,把PR的构建也包含了。导致任何一个人都能PR任意代码,然后自动出现在所有用户手上。因为这是「最新代码」。 猫耳发现了这个漏洞,但他及时关闭了PR。 最后出现在manager上面的那个自动构建,是有更新日志的,清楚写明了会清空数据。在manager里可以看见这个说明。 解决办法: canary做成输入commit hash,然后去ci找包。输入commit hash是平衡性最好的,高级用户,低级用户都能照顾到。有…
致歉文
Telegram
不靠谱的喵(>^ω^<)
#Announcement FOR ZH-CN ONLY
【关于2020年5月26日恶意代码版本分发的回应和致歉公告】
据有关人士统计,当日下午五点左右,先后有3人利用EdXposed Auto Update Channel Server和AppVeyor CI的漏洞和GitHub Pull Requests功能向EdXposed开源仓库中提交恶意代码,约两小时后神经元提交修复PR覆盖恶意构建并关闭(图一)
漏洞细则: EdXposed Auto Update Channel Server会自动从AppVeyor…
【关于2020年5月26日恶意代码版本分发的回应和致歉公告】
据有关人士统计,当日下午五点左右,先后有3人利用EdXposed Auto Update Channel Server和AppVeyor CI的漏洞和GitHub Pull Requests功能向EdXposed开源仓库中提交恶意代码,约两小时后神经元提交修复PR覆盖恶意构建并关闭(图一)
漏洞细则: EdXposed Auto Update Channel Server会自动从AppVeyor…
