近日,国家信息安全漏洞共享平台(CNVD)收录了微信Windows客户端远程代码执行漏洞(CNVD-2021-29068)。此漏洞是Google V8引擎历史漏洞的衍生关联漏洞,攻击者利用该漏洞,通过发送钓鱼链接并引诱用户点击,可获取远程主机控制权限。
据分析,美国谷歌(Google)公司开发维护的V8引擎是一款开源JavaScript引擎,V8引擎不仅被广泛应用于Google Chrome、Microsoft Edge等网页浏览器软件中,而且在内置网页浏览功能的软硬件(服务)产品中得到了广泛应用, V8引擎存在的安全缺陷会对内嵌V8引擎的软硬件产品和服务造成影响,导致关联漏洞的发生。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行或者拒绝服务攻击。Google V8引擎漏洞导致的关联漏洞产品包括:(1)Google Chrome < = 90.0.4430.72;(2)Microsoft Edge正式版(89.0.774.76);(3)微信Window版客户端 < 3.2.1.141;(4)内嵌V8引擎的软硬件产品和服务。
请各位师生将微信软件和Google Chrome浏览器尽快升级到最新版本,使用Chrome、Edge等浏览器时不要关闭默认的沙盒模式,谨慎访问来源不明的文件或网页链接,以免遭受恶意的网络安全攻击。
腾讯公司已发布微信新版本修复该漏洞,建议用户立即将微信 (Windows版)更新至最新版本。
参考链接:关于Google V8引擎远程代码执行漏洞导致微信等软件存在关联漏洞的安全公告(https://www.cnvd.org.cn/webinfo/show/6331)