著名安全從業(yè)人員Saiy于2010年7月10日在安全網(wǎng)站80vul.com發(fā)布了Zend Studio的安全漏洞。 通過這個漏洞，可以在操作系統(tǒng)中執(zhí)行任意命令。 在Zend Studio 6.0以上版本中，如果開發(fā)者開啟了自動提示的功能，那么在一份存在問題的工程文件里（可能是別有用心者提供的），開發(fā)者就很可能觸發(fā)這個漏洞，以執(zhí)行他 人指定的代碼。

文章中進(jìn)行了案例演示。代碼中定義了一個名為A的函數(shù)，那么只要在編輯區(qū)域輸入A即觸發(fā)此函數(shù)，此函數(shù)啟動了Windows系統(tǒng)中自帶的計算器 軟件，那么同理，它可以啟動任何一個軟件，也可以執(zhí)行任意其他的命令…… 目前Zend公司還沒有對此安全漏洞作出任何反應(yīng)。 建議相關(guān)開發(fā)者關(guān)閉自動提示的功能。

原文地址(英文)：

http://80vul.com/Zend%20studio/Zend%20studio%20location%20Cross.htm  

【編輯推薦】

1. 安全公司爆料：五大SOA架構(gòu)都有安全漏洞
2. Chrome 擴(kuò)展曝嚴(yán)重安全漏洞