近日,中国网络信息安全漏洞数据库(CNNVD)收到360手机卫士Alpha精英团队发来的ChromeV8引擎“BadKernel”漏洞状态声明。该漏洞存在于ChromeV8引擎的历史时间版本中,远程控制网络攻击可以利用该漏洞对装有受影响引擎的商品进行远程控制攻击。由于该漏洞危害范围广,危害严重,根据CNNVD的相关要求,百度对该漏洞进行了记录,并分配了序列号CNNVD-201608-414。
一.脆弱性简介
ChromeV8是谷歌Chrome浏览器中用来分析JavaScript的引擎。
ChromeV8引擎3.20到4.2版本存在一个远程控制代码执行漏洞(漏洞序列号:CNNVD-201608-414)。该漏洞是因为源代码中的异常类别“observe_accept_invalid”被误写成“observe_invalid_accept”,导致kMessages的重要目标数据泄露,进而可以利用该漏洞实现任意编码。
第二,漏洞破坏
1.由于腾讯官方接入服务项目呈现的X5SDK中的X5内核集成了ChromeV8引擎,因此该引擎受到了漏洞的危害。根据腾讯官方接入服务流程,微信、qq空、JD.COM商城、胡巴、搜狐视频下载、腾讯新闻等安卓手机上的app使用X5SDK的可能会受到此漏洞的危害。
2.根据Android4.4.4至5.1版本系统软件的WebView控件开发和设计的手机上的应用程序很可能受到该漏洞的伤害。
3.远程控制网络攻击可以按照以下方式进行:
(1)引诱用户扫描二维码;
(2)引诱用户点击有意连接。
4.利用此漏洞会导致以下伤害:
(1)用户隐私泄露,如手机通讯录、短信、音频、视频等。;
(2)用户经济损失,如窃取交易密码、钱包登录密码等;
(3)手机远程 *** 作。
三、恢复对策
1.采用ChromeV8发动机3.20至4.2版本的制造商:
将https://chromium.Googlesource.com/V8/V8//3.27.34.21/src/messages.js#75中的observe_invalid_accept改为observe_accept_invalid
2.可能受影响的用户:
(1)是否受到该漏洞的危害,可通过以下方法检查:
如果电脑浏览器浏览以下网页,如果能得到kMessages目标,那么d出的对象就会有漏洞,如果d出未定义,就没有漏洞。
(2)如有漏洞,请立即关注厂商公布的补丁下载。
3.在漏洞恢复之前,建议用户不必点击连接。
本报告由CNNVD的技术支持企业北京奇虎360高科技有限公司应用。
CNNVD将再次跟踪该漏洞的相关情况,并立即公布基本信息。如有需要,可立即联系CNNVD。
联系方式:010-82341439
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)