关于Google V8引擎远程代码执行漏洞导致微信

等软件存在关联漏洞的安全公告

 

安全公告编号:CNTA-2021-0016

2021年4月17日，国家信息安全漏洞共享平台（CNVD）收录了微信Windows客户端远程代码执行漏洞（CNVD-2021-29068）。攻击者利用该漏洞，通过发送钓鱼链接并引诱用户点击，可获取远程主机控制权限。目前，漏洞细节尚未公开，厂商已发布新版本完成修复。此漏洞是Google V8引擎历史漏洞的衍生关联漏洞。

一、漏洞情况分析

美国谷歌（Google）公司开发维护的V8引擎是一款开源JavaScript引擎，通过将JavaScript代码编译成原生机器码，并使用内联缓存等多种技术提高脚本的编译和执行性能。V8引擎支持多操作系统，具有较好的可移植和跨平台特性。V8引擎支持多种宿主环境的嵌入，实现JavaScript语言在多个领域中的应用。

V8引擎不仅被广泛应用于Google Chrome、Microsoft Edge等网页浏览器软件中，而且在内置网页浏览功能的软硬件（服务）产品中得到了广泛应用，异步服务器框架Node.js也使用V8引擎解析JavaScript。V8引擎存在的安全缺陷会对内嵌V8引擎的软硬件产品和服务造成影响，导致关联漏洞的发生。

近几年，V8引擎曾多次被研究者发现存在高危漏洞。其中，Google V8引擎远程代码执行漏洞（CNVD-2021-29059，对应CVE-2021-21220）相关细节已公开，谷歌公司尚未发布新版本修复该漏洞。未经身份验证的攻击者利用该漏洞，可通过精心构造恶意页面，诱导受害者访问，实现对浏览器的远程代码执行或者拒绝服务攻击,但攻击者单独利用上述漏洞无法实现沙盒（SandBox）逃逸。沙盒是Google Chrome浏览器的安全边界，防止恶意攻击代码破坏用户系统或者浏览器其他页面。沙盒保护模式在Google Chrome浏览器中默认开启。CNVD对该漏洞的综合评级为“高危”。

2021年4月17日，国家信息安全漏洞共享平台收录了微信Windows客户端远程代码执行漏洞，此漏洞是Google V8引擎历史漏洞的衍生关联漏洞。微信客户端（Windows版本）使用V8引擎解析JavaScript代码，并关闭了沙盒模式（--no-sandbox参数)。攻击者利用上述漏洞，构造恶意钓鱼链接并通过微信发送，在引诱受害者使用微信客户端（Windows版）点击钓鱼链接后，可获取远程主机的控制权限，实现远程代码执行攻击。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

Google V8引擎漏洞导致的关联漏洞产品包括：

GoogleChrome < = 90.0.4430.72

MicrosoftEdge正式版（ 89.0.774.76）

微信Window版客户端 < 3.2.1.141

内嵌V8引擎的软硬件产品和服务

三、漏洞处置建议

目前，谷歌、微软公司尚未发布新版本修复关联漏洞，CNVD建议用户使用Chrome、Edge等浏览器时不要关闭默认的沙盒模式，谨慎访问来源不明的文件或网页链接，并及时关注厂商的更新公告。

腾讯公司已发布微信新版本修复该漏洞，建议用户立即将微信 （Windows版）更新至最新版本。

产品内嵌谷歌V8引擎的软硬件（服务）厂商应对集成的V8引擎版本进行自查，更新引擎至最新版本，同时及时关注谷歌公司的安全更新公告，并通过沙盒模式调用该引擎。

 

附：参考链接：

https://twitter.com/frust93717815/status/1382301769577861123

https://www.google.com/chrome/

https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ

https://paper.seebug.org/1557/