#Announcement FOR ZH-CN ONLY
【关于2020年5月26日恶意代码版本分发的回应和致歉公告】
据有关人士统计,当日下午五点左右,先后有3人利用EdXposed Auto Update Channel Server和AppVeyor CI的漏洞和GitHub Pull Requests功能向EdXposed开源仓库中提交恶意代码,约两小时后神经元提交修复PR覆盖恶意构建并关闭(图一)
漏洞细则: EdXposed Auto Update Channel Server会自动从AppVeyor CI中抓取最新的构建,而AppVeyor CI并未在API中明确构建是否为PR代码,从而导致EdXposed Manager在抓取API时无法判断是否为官方构建,并将这些非官方恶意构建推送给用户
漏洞处理: 目前已暂时关闭EdXposed Manager中Canary通道的显示及分发,将在后续修复后重新开放,如有需要下载Canary中的构建(如Android R用户或需要体验隐藏特征的用户),请移步(请注意仔细甄别构建提交者以及更变记录): https://ci.appveyor.com/project/ElderDrivers/EdXposed/history
目前所受影响版本: 0.4.6.3 (4549)-kihnewnj 0.4.6.3 (4549)-noofbiwx 0.4.6.3 (4549)-blhuwpqu 0.4.6.3 (4549)-vqpyeeje 0.4.6.3 (4549)-fexbxflm
对于受影响的用户,我们深表歉意,同时对三名恶意代码提交者表示强烈谴责
最后,请各位仔细阅读安装警告,更变记录以及作者名(图二)
目前这些非法PR均已被关闭,并未合并到主(master)分支中,EdXposed开发团队ElderDrivers非常注重用户的隐私以及安全,今后我们会尽量避免类似漏洞,共建优良的Xposed社区环境,也请各位相信EdXposed,相信开源项目
祝好!
【关于2020年5月26日恶意代码版本分发的回应和致歉公告】
据有关人士统计,当日下午五点左右,先后有3人利用EdXposed Auto Update Channel Server和AppVeyor CI的漏洞和GitHub Pull Requests功能向EdXposed开源仓库中提交恶意代码,约两小时后神经元提交修复PR覆盖恶意构建并关闭(图一)
漏洞细则: EdXposed Auto Update Channel Server会自动从AppVeyor CI中抓取最新的构建,而AppVeyor CI并未在API中明确构建是否为PR代码,从而导致EdXposed Manager在抓取API时无法判断是否为官方构建,并将这些非官方恶意构建推送给用户
漏洞处理: 目前已暂时关闭EdXposed Manager中Canary通道的显示及分发,将在后续修复后重新开放,如有需要下载Canary中的构建(如Android R用户或需要体验隐藏特征的用户),请移步(请注意仔细甄别构建提交者以及更变记录): https://ci.appveyor.com/project/ElderDrivers/EdXposed/history
目前所受影响版本: 0.4.6.3 (4549)-kihnewnj 0.4.6.3 (4549)-noofbiwx 0.4.6.3 (4549)-blhuwpqu 0.4.6.3 (4549)-vqpyeeje 0.4.6.3 (4549)-fexbxflm
对于受影响的用户,我们深表歉意,同时对三名恶意代码提交者表示强烈谴责
最后,请各位仔细阅读安装警告,更变记录以及作者名(图二)
目前这些非法PR均已被关闭,并未合并到主(master)分支中,EdXposed开发团队ElderDrivers非常注重用户的隐私以及安全,今后我们会尽量避免类似漏洞,共建优良的Xposed社区环境,也请各位相信EdXposed,相信开源项目
祝好!