安全公告編號:CNTA-2021-0016

2021年4月17日，國家信息安全漏洞共享平臺（CNVD）收錄了微信Windows客戶端遠程代碼執行漏洞（CNVD-2021-29068）。攻擊者利用該漏洞8️⃣，通過發送釣魚鏈接並引誘用戶點擊👩🏿‍⚖️😚，可獲取遠程主機控製權限🙅🏼‍♂️🧑🏻‍🔧。目前，漏洞細節尚未公開，廠商已發布新版本完成修復。此漏洞是Google V8引擎歷史漏洞的衍生關聯漏洞。

一👰🏽、漏洞情況分析

美國谷歌（Google）公司開發維護的V8引擎是一款開源JavaScript引擎，通過將JavaScript代碼編譯成原生機器碼🧚🏼，並使用內聯緩存等多種技術提高腳本的編譯和執行性能🔬。V8引擎支持多操作系統，具有較好的可移植和跨平臺特性。V8引擎支持多種宿主環境的嵌入，實現JavaScript語言在多個領域中的應用。

V8引擎不僅被廣泛應用於Google Chrome🆔、Microsoft Edge等網頁瀏覽器軟件中，而且在內置網頁瀏覽功能的軟硬件（服務）產品中得到了廣泛應用‼️🥁，異步服務器框架Node.js也使用V8引擎解析JavaScript🙇🏿‍♂️。V8引擎存在的安全缺陷會對內嵌V8引擎的軟硬件產品和服務造成影響，導致關聯漏洞的發生📓。

近幾年，V8引擎曾多次被研究者發現存在高危漏洞🤴🏻。其中🐠，Google V8引擎遠程代碼執行漏洞（CNVD-2021-29059💤，對應CVE-2021-21220）相關細節已公開，谷歌公司尚未發布新版本修復該漏洞。未經身份驗證的攻擊者利用該漏洞🤏🏿👩‍🦽，可通過精心構造惡意頁面🎸，誘導受害者訪問🕺🏿，實現對瀏覽器的遠程代碼執行或者拒絕服務攻擊,但攻擊者單獨利用上述漏洞無法實現沙盒（SandBox）逃逸。沙盒是Google Chrome瀏覽器的安全邊界🧑🏼‍🦳，防止惡意攻擊代碼破壞用戶系統或者瀏覽器其他頁面。沙盒保護模式在Google Chrome瀏覽器中默認開啟🫦。CNVD對該漏洞的綜合評級為“高危”🤸🏽‍♂️。

2021年4月17日，國家信息安全漏洞共享平臺收錄了微信Windows客戶端遠程代碼執行漏洞🧑‍🦽，此漏洞是Google V8引擎歷史漏洞的衍生關聯漏洞➾。微信客戶端（Windows版本）使用V8引擎解析JavaScript代碼，並關閉了沙盒模式（--no-sandbox參數)🧭。攻擊者利用上述漏洞🙅👩🏿‍🌾，構造惡意釣魚鏈接並通過微信發送，在引誘受害者使用微信客戶端（Windows版）點擊釣魚鏈接後，可獲取遠程主機的控製權限✫，實現遠程代碼執行攻擊。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響範圍

Google V8引擎漏洞導致的關聯漏洞產品包括：

GoogleChrome < = 90.0.4430.72

MicrosoftEdge正式版（ 89.0.774.76）

微信Window版客戶端 < 3.2.1.141

內嵌V8引擎的軟硬件產品和服務

三、漏洞處置建議

目前，谷歌、微軟公司尚未發布新版本修復關聯漏洞，CNVD建議用戶使用Chrome🧑🏼‍⚕️、Edge等瀏覽器時不要關閉默認的沙盒模式🤷🏽，謹慎訪問來源不明的文件或網頁鏈接🈷️，並及時關註廠商的更新公告😰。

騰訊公司已發布微信新版本修復該漏洞，建議用戶立即將微信 （Windows版）更新至最新版本。

產品內嵌谷歌V8引擎的軟硬件（服務）廠商應對集成的V8引擎版本進行自查，更新引擎至最新版本，同時及時關註谷歌公司的安全更新公告，並通過沙盒模式調用該引擎。

附👌🏽：參考鏈接🤦🏿‍♂️：

https://twitter.com/frust93717815/status/1382301769577861123

https://www.google.com/chrome/

https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ

https://paper.seebug.org/1557/

感謝CNVD技術組支撐單位——杭州安恒信息技術股份有限公司👩🏽‍🚀、北京知道創宇信息技術股份有限公司對本報告提供的技術支持。