著名安全從業(yè)人員Saiy于2010年7月10日在安全網(wǎng)站80vul.com發(fā)布了Zend Studio的安全漏洞。 通過(guò)這個(gè)漏洞，可以在操作系統(tǒng)中執(zhí)行任意命令。 在Zend Studio 6.0以上版本中，如果開(kāi)發(fā)者開(kāi)啟了自動(dòng)提示的功能，那么在一份存在問(wèn)題的工程文件里（可能是別有用心者提供的），開(kāi)發(fā)者就很可能觸發(fā)這個(gè)漏洞，以執(zhí)行他 人指定的代碼。

文章中進(jìn)行了案例演示。代碼中定義了一個(gè)名為A的函數(shù)，那么只要在編輯區(qū)域輸入A即觸發(fā)此函數(shù)，此函數(shù)啟動(dòng)了Windows系統(tǒng)中自帶的計(jì)算器 軟件，那么同理，它可以啟動(dòng)任何一個(gè)軟件，也可以執(zhí)行任意其他的命令…… 目前Zend公司還沒(méi)有對(duì)此安全漏洞作出任何反應(yīng)。 建議相關(guān)開(kāi)發(fā)者關(guān)閉自動(dòng)提示的功能。

原文地址(英文)：

http://80vul.com/Zend%20studio/Zend%20studio%20location%20Cross.htm  

【編輯推薦】

1. 安全公司爆料：五大SOA架構(gòu)都有安全漏洞
2. Chrome 擴(kuò)展曝嚴(yán)重安全漏洞