漏洞名称:Google V8引擎远程代码执行漏洞
危害级别:高危
影响产品:微信Window版客户端 < 3.2.1.141
GoogleChrome < = 90.0.4430.72
MicrosoftEdge正式版(89.0.774.76)
内嵌V8引擎的软硬件产品和服务
漏洞描述:美国谷歌(Google)公司开发维护的V8引擎是一款开源JavaScript引擎,通过将JavaScript代码编译成原生机器码,并使用内联缓存等多种技术提高脚本的编译和执行性能。V8引擎不仅被广泛应用于Google Chrome、Microsoft Edge等网页浏览器软件中,而且在内置网页浏览功能的软硬件(服务)产品中得到了广泛应用。V8引擎存在的安全缺陷会对内嵌V8引擎的软硬件产品和服务造成影响,导致关联漏洞的发生。
微信客户端(Windows版本)使用V8引擎解析JavaScript代码,并关闭了沙盒模式(--no-sandbox参数)。不法分子利用上述漏洞,构造恶意钓鱼链接并通过微信发送,在引诱受害者使用微信客户端(Windows版)点击钓鱼链接后,可获取远程主机的控制权限,实现远程代码执行。
解决方案:一是提高安全意识,避免在微信(PC版)点击可疑链接,二是微信已发布漏洞修复版本,尽快升级微信(PC版)至安全版本。
参考链接:https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ
