关于Google V8引擎远程代码执行漏洞可能影响Windows版本微信的安全公告

时间:2021-04-26作者:动态浏览次数:386

一、情况分析

近期国家信息安全漏洞共享平台(CNVD)收录了微信Windows客户端远程代码执行漏洞,此漏洞是Google V8引擎历史漏洞的衍生关联漏洞。微信客户端(Windows版本)使用V8引擎解析JavaScript代码,并关闭了沙盒模式(--no-sandbox参数)。攻击者利用上述漏洞,构造恶意钓鱼链接并通过微信发送,在引诱受害者使用微信客户端(Windows版)点击钓鱼链接后,可获取远程主机的控制权限,实现远程代码执行攻击。CNVD对该漏洞的综合评级为“高危”。

二、影响范围

低于3.2.1.141的Windows版微信客户端。

三、处置建议

腾讯公司已发布微信新版本修复该漏洞,建议用户立即将微信 (Windows版)更新至官方最新版本(3.2.1.141及以上)。