?

Aug 25 2016

關于微信“BadKernel”漏洞情況的通報

首頁 » 業界見聞 » 關于微信“BadKernel”漏洞情況的通報   

近日,國家信息安全漏洞庫(CNNVD)收到360安全衛士阿爾法團隊關于Chrome V8引擎“BadKernel”漏洞的情況報送。該漏洞存在于Chrome V8引擎的歷史版本中,遠程攻擊者可利用該漏洞對使用受影響引擎的產品進行遠程攻擊。由于該漏洞影響范圍較廣,危害較為嚴重,根據CNNVD相關規定,已對此漏洞進行收錄,并分配編號CNNVD-201608-414

一、漏洞簡介

Chrome V8是Google Chrome瀏覽器中用于解析JavaScript的引擎。

Chrome V8引擎3.20至4.2版本中存在遠程代碼執行漏洞(漏洞編號:CNNVD-201608-414)。該漏洞是由于源代碼中“observe_accept_invalid”異常類型被誤寫為“observe_invalid_accept”, 造成kMessages關鍵對象信息泄露,從而可利用該漏洞執行任意代碼。

二、漏洞危害

1、由于騰訊瀏覽服務提供的X5SDK中的X5內核集成了Chrome V8引擎,該引擎受上述漏洞影響。根據騰訊瀏覽服務介紹,使用X5SDK的微信、手機QQ、QQ空間、京東、58同城、搜狐視頻、新浪新聞等Android手機APP均可能受該漏洞影響。

2、基于Android 4.4.4至5.1版本系統的WebView控件開發的手機APP均可能受上述漏洞影響。

3、遠程攻擊者可通過如下手段進行攻擊:

(1)誘使用戶掃描二維碼;

(2)誘使用戶點擊惡意鏈接。

4、利用該漏洞可造成如下危害:

(1)用戶隱私泄露,如通訊錄,短信,錄音,錄像等;

(2)用戶財產損失,如竊取支付密碼、錢包密碼等;

(3)遠程控制手機。

三、修復措施

1、使用Chrome V8引擎3.20至4.2版本的廠商:將

https://chromium.googlesource.com/v8/v8/+/3.27.34.21/src/messages.js#75

中的observe_invalid_accept改為observe_accept_invalid;

2、可能受影響的用戶:

(1)可通過如下方式檢測是否受此漏洞影響:

10.jpg

 


(2)如受漏洞影響,請及時關注廠商發布的補丁。

3、在漏洞未修復前,建議用戶不要點擊不可信鏈接。

本報告由CNNVD技術支撐單位—北京奇虎科技有限公司支持。

CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD及時聯系。

聯系電話:010-82341439。

* 本文作者:CNNVD(企業賬號),轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

如果您喜歡本博客,歡迎點擊圖片定訂閱到郵箱填寫您的郵件地址,訂閱我們的精彩內容:

正文部分到此結束

文章標簽: BadKernel

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «cmseasy最新注入+360webscan的繞過分析 | Cowrie蜜罐部署教程»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

已有3條評論

keen8

2016-08-29 21:23 沙發
貴站已加
暗月大牛求友鏈啊
keen8博客
http://www.keen8.com

mOon

2016-08-31 18:36
@keen8:已經加上

keen8

2016-08-31 20:43
@mOon:多謝多謝
?
?
河北11选5开奖