GitHub存在高危漏洞，黑客可利用进行恶意软件分发

　　据报道，4月23日，知名代码托管平台GitHub爆出高风险漏洞，位于comment文件上传功能中。黑客可借此分发各类恶意软件。

　　据悉，该漏洞允许用户在不存在的GitHub评论中上传文件并创建下载链接，包括仓库名和所有者信息。这种伪装可能使受害者误以为文件为合法资源。

　　更令人担忧的是，此漏洞无需特殊技能，仅需将恶意文件上传至相应评论区便可。攻击者可在任意信任度高的仓库中上传恶意软件，再借助GitHub链接进行传播。

　　值得注意的是，此类链接均以GitHub官方URL域名结尾，且包含如“Microsoft”等官方仓库字样，极易让用户误判其安全性。

　　尽管GitHub已删除部分恶意软件链接，但仍未完全修复此漏洞。对于开发者来说，现阶段尚无有效手段阻止此类滥用行为，唯一可行的措施便是彻底禁用comment功能。