天天夜碰日日摸日日澡性色AV ,日韩欧美在线综合网,中国成熟妇女毛茸茸,bbw丰满大肥奶肥婆

關(guān)于Google V8引擎遠(yuǎn)程代碼執(zhí)行漏洞導(dǎo)致微信等軟件存在關(guān)聯(lián)漏洞的安全公告

2021-04-17 14:18:22
安全公告編號:CNTA-2021-0016

2021年4月17日,國家信息安全漏洞共享平臺(CNVD)收錄了微信Windows客戶端遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2021-29068)。攻擊者利用該漏洞,通過發(fā)送釣魚鏈接并引誘用戶點(diǎn)擊,可獲取遠(yuǎn)程主機(jī)控制權(quán)限。目前,漏洞細(xì)節(jié)尚未公開,廠商已發(fā)布新版本完成修復(fù)。此漏洞是Google V8引擎歷史漏洞的衍生關(guān)聯(lián)漏洞。

一、漏洞情況分析

美國谷歌(Google)公司開發(fā)維護(hù)的V8引擎是一款開源JavaScript引擎,通過將JavaScript代碼編譯成原生機(jī)器碼,并使用內(nèi)聯(lián)緩存等多種技術(shù)提高腳本的編譯和執(zhí)行性能。V8引擎支持多操作系統(tǒng),具有較好的可移植和跨平臺特性。V8引擎支持多種宿主環(huán)境的嵌入,實現(xiàn)JavaScript語言在多個領(lǐng)域中的應(yīng)用。

V8引擎不僅被廣泛應(yīng)用于Google Chrome、Microsoft Edge等網(wǎng)頁瀏覽器軟件中,而且在內(nèi)置網(wǎng)頁瀏覽功能的軟硬件(服務(wù))產(chǎn)品中得到了廣泛應(yīng)用,異步服務(wù)器框架Node.js也使用V8引擎解析JavaScript。V8引擎存在的安全缺陷會對內(nèi)嵌V8引擎的軟硬件產(chǎn)品和服務(wù)造成影響,導(dǎo)致關(guān)聯(lián)漏洞的發(fā)生。

近幾年,V8引擎曾多次被研究者發(fā)現(xiàn)存在高危漏洞。其中,Google V8引擎遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2021-29059,對應(yīng)CVE-2021-21220)相關(guān)細(xì)節(jié)已公開,谷歌公司尚未發(fā)布新版本修復(fù)該漏洞。未經(jīng)身份驗證的攻擊者利用該漏洞,可通過精心構(gòu)造惡意頁面,誘導(dǎo)受害者訪問,實現(xiàn)對瀏覽器的遠(yuǎn)程代碼執(zhí)行或者拒絕服務(wù)攻擊,但攻擊者單獨(dú)利用上述漏洞無法實現(xiàn)沙盒(SandBox)逃逸。沙盒是Google Chrome瀏覽器的安全邊界,防止惡意攻擊代碼破壞用戶系統(tǒng)或者瀏覽器其他頁面。沙盒保護(hù)模式在Google Chrome瀏覽器中默認(rèn)開啟。CNVD對該漏洞的綜合評級為“高?!?。

2021年4月17日,國家信息安全漏洞共享平臺收錄了微信Windows客戶端遠(yuǎn)程代碼執(zhí)行漏洞,此漏洞是Google V8引擎歷史漏洞的衍生關(guān)聯(lián)漏洞。微信客戶端(Windows版本)使用V8引擎解析JavaScript代碼,并關(guān)閉了沙盒模式(--no-sandbox參數(shù))。攻擊者利用上述漏洞,構(gòu)造惡意釣魚鏈接并通過微信發(fā)送,在引誘受害者使用微信客戶端(Windows版)點(diǎn)擊釣魚鏈接后,可獲取遠(yuǎn)程主機(jī)的控制權(quán)限,實現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

Google V8引擎漏洞導(dǎo)致的關(guān)聯(lián)漏洞產(chǎn)品包括:

GoogleChrome < = 90.0.4430.72

MicrosoftEdge正式版( 89.0.774.76)

微信Window版客戶端 < 3.2.1.141

內(nèi)嵌V8引擎的軟硬件產(chǎn)品和服務(wù)

三、漏洞處置建議

目前,谷歌、微軟公司尚未發(fā)布新版本修復(fù)關(guān)聯(lián)漏洞,CNVD建議用戶使用Chrome、Edge等瀏覽器時不要關(guān)閉默認(rèn)的沙盒模式,謹(jǐn)慎訪問來源不明的文件或網(wǎng)頁鏈接,并及時關(guān)注廠商的更新公告。

騰訊公司已發(fā)布微信新版本修復(fù)該漏洞,建議用戶立即將微信 (Windows版)更新至最新版本。

產(chǎn)品內(nèi)嵌谷歌V8引擎的軟硬件(服務(wù))廠商應(yīng)對集成的V8引擎版本進(jìn)行自查,更新引擎至最新版本,同時及時關(guān)注谷歌公司的安全更新公告,并通過沙盒模式調(diào)用該引擎。

附:參考鏈接:

https://twitter.com/frust93717815/status/1382301769577861123

https://www.google.com/chrome/

https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ

https://paper.seebug.org/1557/

感謝CNVD技術(shù)組支撐單位——杭州安恒信息技術(shù)股份有限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司對本報告提供的技術(shù)支持。