压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，網(wǎng)絡(luò)安全公司Cisco Talos披露了騰訊微信（WeChat）應(yīng)用程序中存在的一個高危安全漏洞。該漏洞允許攻擊者通過微信發(fā)送的惡意鏈接執(zhí)行遠(yuǎn)程代碼，從而控制用戶的設(shè)備。

漏洞詳情：

• 微信存在一個類型混淆漏洞（CVE-2023-3420），該漏洞可能允許攻擊者執(zhí)行遠(yuǎn)程代碼。
• 盡管該問題已于2023年6月在V8引擎中披露并修復(fù)，但微信的WebView組件并未更新，直到2024年4月Cisco Talos研究人員向騰訊報告時，該組件仍存在漏洞。
• Cisco Talos研究人員確認(rèn)，截至2024年6月14日前在谷歌Play商店上安卓設(shè)備可用的最新版本8.0.42的微信，都受到了此問題的影響。但由于動態(tài)WebView加載機(jī)制，Talos無法確認(rèn)所有版本是否都已修復(fù)。

技術(shù)分析：

• 微信使用自定義WebView組件而非依賴內(nèi)置的Android WebView。該組件是騰訊維護(hù)的XWalk的定制版本，包含一個嵌入式Chromium瀏覽器，其V8版本為8.6.365.13，發(fā)布于2020年10月12日，支持HTML渲染和JavaScript執(zhí)行。
• 微信在用戶首次登錄應(yīng)用后動態(tài)下載此組件，允許騰訊部署動態(tài)更新。下載后，XWalk WebView位于路徑/data/data/com.tencent.mm/app_xwalk_4433/apk/base.apk。庫/data/data/com.tencent.mm/app_xwalk_4433/extracted_xwalkcore/libxwebcore.so包含一個帶有過時V8版本的嵌入式瀏覽器環(huán)境。
• GitHub Security Labs 在2023年6月對V8版本11.4.183.19的此漏洞（CVE-2023-3420）進(jìn)行了詳細(xì)分析。

漏洞觸發(fā)方式：

• 攻擊者通過向受害者發(fā)送包含惡意鏈接的微信消息來觸發(fā)漏洞。點擊微信中的鏈接會導(dǎo)致在XWalk中加載帶有嵌入式JavaScript的網(wǎng)頁，從而觸發(fā)漏洞。

漏洞影響：

• 該漏洞允許攻擊者獲得對受害者設(shè)備的控制權(quán)，并執(zhí)行任意代碼。
• CVSSv3評分為8.8，表明該漏洞具有高嚴(yán)重性。

受影響用戶如何識別：

• 根據(jù)Talos的確認(rèn)，微信版本8.0.42受到影響。使用受影響自定義瀏覽器（MMWEBID/2247）的微信，請求的用戶代理中包含自定義瀏覽器的版本信息。

用戶應(yīng)對措施：

• 建議用戶更新至微信的最新版本，并確認(rèn)XWalk也已更新（在測試中，應(yīng)用在發(fā)布更新后不會立即自動更新到最新版本）。
• 另外，如果用戶使用的是受影響的版本，請不要點擊微信中發(fā)送的任何鏈接。如果必須閱讀鏈接，請從微信聊天中復(fù)制鏈接，并在應(yīng)用程序外部的更新網(wǎng)絡(luò)瀏覽器中打開。建議微信用戶對微信中發(fā)送的URL鏈接保持警惕。在點擊URL鏈接之前，驗證它是否來自可信來源。

Talos有關(guān)漏洞報告時間線：

• 2024年4月30日：Talos在研究進(jìn)行中向供應(yīng)商披露。
• 2024年5月31日：騰訊確認(rèn)收到報告，并確認(rèn)他們了解該漏洞并正在修補(bǔ)。
• 2024年6月14日：在Play商店發(fā)布了微信8.0.48的新版本。然而，測試設(shè)備上的應(yīng)用程序并未自動更新。
• 2024年6月27日：Talos通知供應(yīng)商打算發(fā)布此報告。

參考鏈接：

https://blog.talosintelligence.com/vulnerability-in-tencent-wechat-custom-browser-could-lead-to-remote-code-execution/

聲明：本文來自白澤安全實驗室，稿件和圖片版權(quán)均歸原作者所有。所涉觀點不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系rhliu@skdlabs.com，我們將及時按原作者或權(quán)利人的意愿予以更正。