在上周，思科Talos团队在三维动画制作软件Blender中发现了多个未修补的漏洞，可能允许攻击者在受影响计算机上执行任意代码。

Blender是一款免费且开源的跨平台全能三维动画制作软件，提供从建模、动画、材质、渲染、到音频处理、视频剪辑等一系列动画短片制作解决方案。

Talos团队表示，大多数漏洞属于整数溢出远程代码执行漏洞。这是由Blender中不正确解析和处理文件而产生的不良结果，它导致多个潜在的整数溢出或缓冲区溢出情况。

利用这些漏洞所需的具体条件各不相同，但通常需要受害者使用安装在本地系统上的Blender打开特制的恶意文件。攻击者可以这些恶意文件上传到GitHub、Google Drive和Dropbox等网站，以便与预期的受害者共享。

另一种更典型的攻击形式可能被运用，那就是网络钓鱼攻击。攻击者可以结合使用社交工程手段和鱼叉式电子邮件来传播恶意文件，以通过远程来攻击目标受害者。

Talos团队已经向Blender通报了这一发现，但Blender已经明确表示拒绝修补这些漏洞。

Blender的发言人说：“逐一解决这些问题是在浪费时间，使用Blender打开文件应该被认为是像使用Python解释器打开一个文件一样，你首先需要确认文件能够足以被信任。”

该发言人补充说：“在我看来，这的确是一个我们应该处理的有效报告。但其严重性并不足以让我们放弃所有的工作，耗费我们有限的资源。需要注意的是，利用这些漏洞发起恶意攻击，前提是用户下载了恶意文件。这并不影响软件的正常使用，也不会影响到任何从可靠来源下载文件的用户。”