通知公告

关于防范Google V8引擎远程代码执行漏洞导致微信等软件存在关联漏洞的通知

更新时间:2021-04-21点击数:94

各处级单位、校园网用户:

根据国家信息安全漏洞共享平台(CNVD)《关于Google V8引擎远程代码执行漏洞导致微信等软件存在关联漏洞的安全公告》,国家信息安全漏洞共享平台(CNVD)收录了微信Windows客户端远程代码执行漏洞(CNVD-2021-29068)。攻击者利用该漏洞,通过发送钓鱼链接并引诱用户点击,可获取远程主机控制权限。目前,厂商已发布新版本完成修复。此漏洞是Google V8引擎历史漏洞的衍生关联漏洞。请师生用户将微信WindowsGoogle Chrome浏览器尽快升级到最新版本,并避免点击未知链接,以免被恶意用户利用产生安全问题。

一、漏洞情况                                       

美国谷歌(Google)公司开发维护的V8引擎是一款开源JavaScript引擎,V8引擎不仅被广泛应用于Google ChromeMicrosoft Edge等网页浏览器软件中,而且在内置网页浏览功能的软硬件(服务)产品中得到了广泛应用, V8引擎存在的安全缺陷会对内嵌V8引擎的软硬件产品和服务造成影响,导致关联漏洞的发生。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意页面,诱导受害者访问,实现对浏览器的远程代码执行或者拒绝服务攻击。

二、影响范围

Google V8引擎漏洞导致的关联漏洞产品包括:

GoogleChrome < = 90.0.4430.72

MicrosoftEdge正式版( 89.0.774.76

微信Window版客户端 < 3.2.1.141

内嵌V8引擎的软硬件产品和服务

三、处置建议

目前,谷歌、微软公司尚未发布新版本修复关联漏洞,建议师生用户使用ChromeEdge等浏览器时,谨慎访问来源不明的文件或网页链接,并及时关注厂商的更新公告。

腾讯公司已发布微信新版本修复该漏洞,建议用户立即将微信 (Windows版)更新至最新版本。

参考链接:关于Google V8引擎远程代码执行漏洞导致微信等软件存在关联漏洞的安全公告https://www.cnvd.org.cn/webinfo/show/6331



                                              信息化处  

                                           2021年4月21日