一位匿名安全研究人员已在vBulletin(当今最受欢迎的互联网论坛软件)中发布了有关零时差的详细信息。
由于此人的行为,安全专家现在担心,有关此未修补漏洞的详细信息的发布可能会触发整个互联网上的论坛黑客浪潮,从而导致黑客接管论坛安装并大量窃取用户信息。
零日详情
根据对已发布代码的分析,零时差允许攻击者在运行vBulletin安装的服务器上执行Shell命令。攻击者无需在目标论坛上拥有帐户。
在infosec术语中,这是安全专家称为预身份验证远程代码执行漏洞,这是可能影响基于Web平台的最严重的安全漏洞类型之一。
这两个零时差的广告使用了两个不同的来源。
但是,在撰写本文时,尚不清楚匿名研究人员是否向vBulletin团队报告了该漏洞,或者vBulletin团队是否未能及时解决此问题,从而促使研究人员公开上市。
vBulletin论坛软件商业化公司MH Sub I,LLC尚未返回评论请求。
此外,这也可能是故意的恶意或蓄意破坏行为,匿名研究人员放弃了零时差只是为了损害公司的声誉并使客户面临风险。
研究人员通过匿名电子邮件服务发布了有关此零日活动的详细信息,但没有透露其实际电子邮件地址,因此ZDNet无法联系到其他详细信息。