Clash for Windows 删除其 Github 仓库托管的 Release 包,开发者表示停止更新
Clash for Windows 是由开发者 Fndroid 编写,基于规则的跨平台代理软件,目前支持的平台有 Windows、Linux、MacOS。
几分钟前,开发者 Fndroid 删除了该项目仓库托管的 Releases 包,随后删除整个仓库,由于 Clash for Windows 并不开源,所以该 Github 仓库为其应用分发所用。
开发者在其官方 Telegram 频道表示:
“停止更新了,江湖再见吧😅”
—— 项目地址
Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞
Clash for Windows 的开发者确认了一个被反馈的远程代码执行漏洞,包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。
GitHub 用户 LDAx2012 说,当受攻击者订阅了一个恶意链接,订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。
该漏洞还在修复中,普通用户应该避免使用不可靠来源的订阅。
有开发者指出 Clash for Windows v0.19.8 版本存在XSS 漏洞,可以通过配置文件在目标计算机上远程执行 JavaScript 代码。
该漏洞在低版本中同样存在。已于此后发布的0.19.9/10版本中被修复,使用者应该尽快更新。
https://github.com/Fndroid/clash_for_windows_pkg/issues/2710