Clash 爱好者本文于 2025-04-26 20:48 更新,部分内容具有时效性,如有失效,请留言
近日,有推特用户披露知名代理工具 Clash Verge rev 存在提权漏洞,影响包括 Mac、Linux 及 Windows 系统。根据已公开的信息,即使是最新的 2.2.4-alpha 版本也未能幸免。目前开发组已定位 service 提权漏洞原因,正在修复。
提权漏洞指的是程序由于设计缺陷,被攻击者利用,在不应当拥有高权限的情况下获得系统级控制权。在本次 Clash Verge rev 的漏洞中:
在Mac和Linux上,攻击者可以提升到最高的 root 权限;
在Windows上,可以提权到系统内部的 SYSTEM 账户。
不过需要强调的是,这类漏洞本身并不会直接让远程黑客入侵你的设备。目前 Clash Verge rev 的问题属于本地提权,不是远程攻击漏洞,因此不必过度恐慌。
在补丁发布之前,如果你正在使用 Clash Verge rev,可以采取以下简单措施,大幅降低风险:
禁用守护进程模式:
守护进程(daemon/service)是高权限运行的,容易成为攻击目标。请在设置中关闭自动后台启动,让 Clash Verge 以普通应用方式运行。
仅用官方版本:
请勿下载来源不明的版本或修改版,以防被植入恶意代码。
最小权限使用:
如果可以,避免以管理员身份运行 Clash Verge rev,仅在普通用户权限下操作。
保持系统安全防护:
确保操作系统更新、杀毒软件启用,同时谨慎下载或打开陌生文件。
原文:https://t.me/zaihuanews/32394
补充 Clash Verge Rev 官方的通知:
Clash Verge 开发组已定位 service 提权漏洞原因,正在修复 —— Clash Verge Rev Channel
