微信安卓版存在高危漏洞可能導致遠程代碼執行
責編:gltian |2024-09-11 14:46:26近日,網絡安全公司Cisco Talos披露了騰訊微信(WeChat)應用程序中存在的一個高危安全漏洞。該漏洞允許攻擊者通過微信發送的惡意鏈接執行遠程代碼,從而控制用戶的設備。
漏洞詳情:
- 微信存在一個類型混淆漏洞(CVE-2023-3420),該漏洞可能允許攻擊者執行遠程代碼。
- 盡管該問題已于2023年6月在V8引擎中披露并修復,但微信的WebView組件并未更新,直到2024年4月Cisco Talos研究人員向騰訊報告時,該組件仍存在漏洞。
- Cisco Talos研究人員確認,截至2024年6月14日前在谷歌Play商店上安卓設備可用的最新版本8.0.42的微信,都受到了此問題的影響。但由于動態WebView加載機制,Talos無法確認所有版本是否都已修復。
技術分析:
- 微信使用自定義WebView組件而非依賴內置的Android WebView。該組件是騰訊維護的XWalk的定制版本,包含一個嵌入式Chromium瀏覽器,其V8版本為8.6.365.13,發布于2020年10月12日,支持HTML渲染和JavaScript執行。
- 微信在用戶首次登錄應用后動態下載此組件,允許騰訊部署動態更新。下載后,XWalk WebView位于路徑/data/data/com.tencent.mm/app_xwalk_4433/apk/base.apk。庫/data/data/com.tencent.mm/app_xwalk_4433/extracted_xwalkcore/libxwebcore.so包含一個帶有過時V8版本的嵌入式瀏覽器環境。
- GitHub Security Labs 在2023年6月對V8版本11.4.183.19的此漏洞(CVE-2023-3420)進行了詳細分析。
漏洞觸發方式:
- 攻擊者通過向受害者發送包含惡意鏈接的微信消息來觸發漏洞。點擊微信中的鏈接會導致在XWalk中加載帶有嵌入式JavaScript的網頁,從而觸發漏洞。
漏洞影響:
- 該漏洞允許攻擊者獲得對受害者設備的控制權,并執行任意代碼。
- CVSSv3評分為8.8,表明該漏洞具有高嚴重性。
受影響用戶如何識別:
- 根據Talos的確認,微信版本8.0.42受到影響。使用受影響自定義瀏覽器(MMWEBID/2247)的微信,請求的用戶代理中包含自定義瀏覽器的版本信息。
用戶應對措施:
- 建議用戶更新至微信的最新版本,并確認XWalk也已更新(在測試中,應用在發布更新后不會立即自動更新到最新版本)。
- 另外,如果用戶使用的是受影響的版本,請不要點擊微信中發送的任何鏈接。如果必須閱讀鏈接,請從微信聊天中復制鏈接,并在應用程序外部的更新網絡瀏覽器中打開。建議微信用戶對微信中發送的URL鏈接保持警惕。在點擊URL鏈接之前,驗證它是否來自可信來源。
Talos有關漏洞報告時間線:
- 2024年4月30日:Talos在研究進行中向供應商披露。
- 2024年5月31日:騰訊確認收到報告,并確認他們了解該漏洞并正在修補。
- 2024年6月14日:在Play商店發布了微信8.0.48的新版本。然而,測試設備上的應用程序并未自動更新。
- 2024年6月27日:Talos通知供應商打算發布此報告。
參考鏈接:
https://blog.talosintelligence.com/vulnerability-in-tencent-wechat-custom-browser-could-lead-to-remote-code-execution/