IT之家 2 月 11 日信息 安全性科学研究工作人员 Alex Birsan 发现了一个 *** 安全问题，容许他在iPhone、微软公司、PayPal 和别的 30 好几家公司有着的 *** 服务器上运行代码。

该漏洞检测了一个相对性简易的 *** ：用公共性软件包更换独享软件包。公司在搭建程序流程的情况下，通常会应用别人撰写的开放源码，因此她们不容易花费时间和資源去处理一个早已处理的难题。

在 Node *** 的 npm、PyPi 的 PyPi 和 Ruby 的 RubyGems 等资源库上面能够寻找这种公布的程序流程。特别注意的是，Birsan 发现这种资源库能够用于开展这类攻击，但并不限于这三种。

IT之家掌握到，除开这种公布的包，公司通常会创建自身的独享包，她们不容易提交，只是在自身的开发人员中派发。Birsan 便是在这儿发现了这一系统漏洞。他发现，假如他能寻找公司应用的独享包的名字（大部分状况下是很容易的），他就可以把自己的编码上传入一个同名的的公共性库房中，公司的自动化技术便会应用他的编码来替代。她们不但会免费下载他的包而不是恰当的包，并且还会继续运作里边的编码。

用一个事例来表述这个问题，想像一下，你的电脑有一个 Word 文本文档，可是如果你去开启它的情况下，你的电脑上说：“嘿，互联网技术上还有一个同名的的 Word 文本文档。我还是开启那个吧。”那样，那一个 Word 文本文档就可以全自动对你的电脑上开展改动。

依据 Birsan 的叫法，他所联络的大部分有关该系统漏洞的公司都可以快速修复她们的系统软件。微软公司乃至还梳理了一份市场研究报告，表述网站管理员怎样维护她们的公司免遭这类攻击，但坦率地说，有些人花了那么长期才发现这种巨大的公司非常容易遭受这类攻击，确实令人震惊。