更新 2013-09-19

CDN 持续保持安全，我们已采取重大措施确保其永不再次遭受类似攻击。

• CDN 的访问权限已限制为少数关键人员
• 第三方服务现在正在监控对 CDN 所做的更改
• 已定义了应对任何此类未来问题的流程

此事件的最初来源是 Sendori 自动更新攻击，它可能影响了数百万人，不幸的是，其中包括一名 CDN 管理员。

2013 年 9 月 14 日上午 6:25 PDST，我们发现从我们的内容分发网络 (CDN) 提供的某些版本的 video.js 已被未知攻击者修改。该文件被更改为包含恶意代码，试图在任何加载 video.js 文件的 Windows 或 Macintosh 计算机上安装恶意软件。该恶意软件已被确认为 Trojan.PWS.Stealer.1932 或 Trojan.Ransom.ED 的变体。我们迅速恢复了 video.js 文件的安全版本，并采取措施确保此问题不会再次发生。

受影响的具体文件是

vjs.zencdn.net/c/video.js

vjs.zencdn.net/4.0/video.js

vjs.zencdn.net/4.1/video.js

没有补丁级别版本（例如 vjs.zencdn.net/4.1.0/video.js）受到影响，最新版本 (4.2) 也没有。自行托管 Video.js 的用户也未受影响。

潜在影响：在受感染期间加载了受影响文件的任何浏览器可能已提示用户在其计算机上安装恶意软件。

经确定，文件最初于 PDST 上午 4:30 被修改。文件于 PDST 上午 7:15 修复，并于 PDST 上午 7:51 完成向全球 CDN 边缘缓存的传播。

请放心，video.js 再次可以安全加载。我们目前正在调查根本原因。一旦我们完全了解事件的性质，我们将提供包含更多信息的更新。

确保用户安全是我们的首要任务之一，我们真诚地向所有受此事件负面影响的人道歉。