在 protobuf.js(Node.js 的关键库)中检测到六个漏洞,可导致远程代码执行或拒绝服务攻击。问题不仅限于技术层面:该项目由无薪志愿者维护,而谷歌等巨头在使用它时并未为其安全做出贡献。
序列化缺陷为攻击敞开大门 🛡️
这些漏洞影响 protobuf.js 中缓冲区操作和类型验证,使攻击者能够发送格式错误的消息,导致内存溢出或执行任意代码。问题的根源在于缺乏持续审计的资源。大型企业依赖此库处理关键系统,但并未投资于其维护,将安全责任留给少数无报酬的开发者。
开源:企业索取却不付费的困境 💸
谷歌、亚马逊等公司使用 protobuf.js 在云端传输数据,但当漏洞出现时,补丁却由志愿者在完成本职工作之余编写。这就像要求邻居免费帮你看家,当小偷闯入时,却抱怨他没有安装更好的锁。公民依赖着靠咖啡和善意维持的系统,而企业却赚取数百万利润。