• 關于Google V8引擎遠程代碼執行漏洞導致微信等軟件存在關聯漏洞的安全預警

    發布者:戚騰飛發布時間:2021-04-17瀏覽次數:14

    2021年4月17日,接到國家信息安全漏洞共享平臺(CNVD)微信Windows客戶端遠程代碼執行漏洞(CNVD-2021-29068)通報,評級為高危。攻擊者利用該漏洞,通過發送釣魚鏈接并引誘用戶點擊,可獲取遠程主機控制權限。目前,漏洞細節未公開,廠商已發布新版本完成修復,此漏洞是Google V8引擎歷史漏洞的衍生關聯漏洞。請使用微信Windows版本和Google Chrome瀏覽器的師生盡快升級到最新版本,并避免點擊未知鏈接,避免被惡意用戶利用產生安全問題。


    漏洞情況分析:

    美國谷歌(Google)公司開發維護的V8引擎是一款開源JavaScript引擎,通過將JavaScript代碼編譯成原生機器碼,并使用內聯緩存等多種技術提高腳本的編譯和執行性能。V8引擎支持多操作系統,具有較好的可移植和跨平臺特性。V8引擎支持多種宿主環境的嵌入,實現JavaScript語言在多個領域中的應用。

    V8引擎不僅被廣泛應用于Google Chrome、Microsoft Edge等網頁瀏覽器軟件中,而且在內置網頁瀏覽功能的軟硬件(服務)產品中得到了廣泛應用,異步服務器框架Node.js也使用V8引擎解析JavaScript。V8引擎存在的安全缺陷會對內嵌V8引擎的軟硬件產品和服務造成影響,導致關聯漏洞的發生。

    近幾年,V8引擎曾多次被研究者發現存在高危漏洞。其中,Google V8引擎遠程代碼執行漏洞(CNVD-2021-29059,對應CVE-2021-21220)相關細節已公開,谷歌公司尚未發布新版本修復該漏洞。未經身份驗證的攻擊者利用該漏洞,可通過精心構造惡意頁面,誘導受害者訪問,實現對瀏覽器的遠程代碼執行或者拒絕服務攻擊,但攻擊者單獨利用上述漏洞無法實現沙盒(SandBox)逃逸。沙盒是Google Chrome瀏覽器的安全邊界,防止惡意攻擊代碼破壞用戶系統或者瀏覽器其他頁面。沙盒保護模式在Google Chrome瀏覽器中默認開啟。CNVD對該漏洞的綜合評級為“高?!?。

    微信Windows客戶端遠程代碼執行漏洞(CNVD-2021-29068)漏洞是Google V8引擎歷史漏洞的衍生關聯漏洞。微信客戶端(Windows版本)使用V8引擎解析JavaScript代碼,并關閉了沙盒模式(--no-sandbox參數)。攻擊者利用上述漏洞,構造惡意釣魚鏈接并通過微信發送,在引誘受害者使用微信客戶端(Windows版)點擊釣魚鏈接后,可獲取遠程主機的控制權限,實現遠程代碼執行攻擊。CNVD對該漏洞的綜合評級為“高?!?。

    漏洞影響范圍:

    Google V8引擎漏洞導致的關聯漏洞產品包括:

    GoogleChrome < = 90.0.4430.72

    MicrosoftEdge正式版(89.0.774.76)

    微信Window版客戶端 < 3.2.1.141

    內嵌V8引擎的軟硬件產品和服務

    漏洞處置建議:

    目前,谷歌、微軟公司尚未發布新版本修復關聯漏洞,建議用戶使用Chrome、Edge等瀏覽器時不要關閉默認的沙盒模式,謹慎訪問來源不明的文件或網頁鏈接,并及時關注廠商的更新公告。

    騰訊公司已發布微信新版本修復該漏洞,建議用戶立即將微信 (Windows版)更新至最新版本。

    產品內嵌谷歌V8引擎的軟硬件(服務)廠商應對集成的V8引擎版本進行自查,更新引擎至最新版本,同時及時關注谷歌公司的安全更新公告,并通過沙盒模式調用該引擎。


    參考鏈接:

    https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ

    https://paper.seebug.org/1557/

    通報來源:

    https://mp.weixin.qq.com/s/tK3vcV_ROVKFbjRiy3DxUg


    成年片黄色电影大全 - 视频 - 在线观看 - 影视资讯 - 观赏网