学习墙国(新加坡=习近平)
补充一下cfw漏洞 clash premium的部分功能可以指定从网上拽取的文件的路径。 这是该漏洞的一个很重要的一环,因为它允许从网络拽取的文件存放于一些关键路径 就该漏洞而言,为cfw-settings.yaml,而cfw刚好允许执行js脚本,因此才有远程执行漏洞的产生。 但除此之外,这个路径也可以是Microsoft/Windows/Start Menu/Programs/Startup (开机启动项),因此就理论上,如果用户不检查配置文件就使用,即使不使用cfw,依旧可能有远程执行的隐患。 因此…
上期回顾:https://t.me/XueXiNmsland/49985

Clash for Windows 发布 v 0.20.13,修复了之前的RCE(Remote Code Execution,远程代码执行)漏洞,建议使用者更新到此版本。

但是开发者把RCE打成了REC(逃

投稿By:腾讯离职员工