联系我们
  • 联系人: 侯女士?

    电 话: 025-58630787

    邮 箱: [email protected]?

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层



关于微信“BadKernel”漏洞情况的通报
2016-8-24
来源:freebuf
点击数: 4280          作者:江苏天网
  • 近日,国家信息安全漏洞库(CNNVD)收到360安全卫士阿尔法团队关于Chrome V8引擎“BadKernel”漏洞的情况报送。该漏洞存在于Chrome V8引擎的历史版本中,远程攻击者可利用该漏洞对使用受影响引擎的产品进行远程攻击。由于该漏洞影响范围较广,危害较为严重,根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201608-414

    一、漏洞简介

    Chrome V8是Google Chrome浏览器中用于解析JavaScript的引擎。

    Chrome V8引擎3.20至4.2版本中存在远程代码执行漏洞(漏洞编号:CNNVD-201608-414)。该漏洞是由于源代码中“observe_accept_invalid”异常类型被误写为“observe_invalid_accept”, 造成kMessages关键对象信息泄露,从而可利用该漏洞执行任意代码。

    二、漏洞危害

    1、由于腾讯浏览服务提供的X5SDK中的X5内核集成了Chrome V8引擎,该引擎受上述漏洞影响。根据腾讯浏览服务介绍,使用X5SDK的微信、手机QQ、QQ空间、京东、58同城、搜狐视频、新浪新闻等Android手机APP均可能受该漏洞影响。

    2、基于Android 4.4.4至5.1版本系统的WebView控件开发的手机APP均可能受上述漏洞影响。

    3、远程攻击者可通过如下手段进行攻击:

    (1)诱使用户扫描二维码;

    (2)诱使用户点击恶意链接。

    4、利用该漏洞可造成如下危害:

    (1)用户隐私泄露,如通讯录,短信,录音,录像等;

    (2)用户财产损失,如窃取支付密码、钱包密码等;

    (3)远程控制手机。

    三、修复措施

    1、使用Chrome V8引擎3.20至4.2版本的厂商:将

    https://chromium.googlesource.com/v8/v8/+/3.27.34.21/src/messages.js#75

    中的observe_invalid_accept改为observe_accept_invalid;

    2、可能受影响的用户:

    (1)可通过如下方式检测是否受此漏洞影响:

    Clipboard Image.png

    (2)如受漏洞影响,请及时关注厂商发布的补丁。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号

玄机二句是2019