近日有用户在推特上披露了 Clash Verge Rev 存在本地提权漏洞,影响平台包括 macOS、Linux 及 Windows 系统。经初步排查,目前最新的 2.2.4-alpha 版本亦受到影响。目前开发团队已定位到问题源于服务(service)模式下的权限控制缺陷,并正在积极修复中。
漏洞详情
提权漏洞(Privilege Escalation)是指攻击者通过利用程序设计上的缺陷,在不应具有高权限的情况下,获得更高权限的控制能力。本次 Clash Verge Rev 出现的提权问题属于本地提权漏洞,具体表现为:
- 在 macOS 和 Linux 上,攻击者可提升至 root 权限;
- 在 Windows 上,攻击者可提权至系统内部的 SYSTEM 账户。
需要特别说明的是:该漏洞本身并不会导致远程入侵。只有本地攻击者才能利用此漏洞提权,因此广大用户无需过度恐慌。
临时措施
在补丁正式发布之前,我们建议用户采取以下措施,以降低潜在风险:
- 禁用守护进程(Daemon/Service)模式 请关闭 Clash Verge Rev 的自动后台启动功能,确保应用以普通用户模式运行,避免以高权限常驻系统。
- 仅使用官方发布版本 请务必从官方渠道下载安装 Clash Verge Rev,避免使用来源不明的版本或第三方修改版,以防引入额外的安全隐患。
- 以最小权限运行 尽量在普通用户权限下使用 Clash Verge Rev,避免以管理员身份运行程序,减少潜在风险面。
- 保持操作系统及安全软件更新 确保您的操作系统和杀毒软件保持在最新状态,同时提高警惕,避免打开来源不明的文件或链接。
后续安排
官方开发团队正在加紧开发补丁,并将在验证完成后第一时间发布修复版本。届时也会同步发布更详细的技术说明。