各处级单位、校园网用户：

根据国家信息安全漏洞共享平台（CNVD）《关于Google V8引擎远程代码执行漏洞导致微信等软件存在关联漏洞的安全公告》，国家信息安全漏洞共享平台（CNVD）收录了微信Windows客户端远程代码执行漏洞（CNVD-2021-29068）。攻击者利用该漏洞，通过发送钓鱼链接并引诱用户点击，可获取远程主机控制权限。目前，厂商已发布新版本完成修复。此漏洞是Google V8引擎历史漏洞的衍生关联漏洞。请师生用户将微信Windows和Google Chrome浏览器尽快升级到最新版本，并避免点击未知链接，以免被恶意用户利用产生安全问题。

一、漏洞情况

美国谷歌（Google）公司开发维护的V8引擎是一款开源JavaScript引擎，V8引擎不仅被广泛应用于Google Chrome、Microsoft Edge等网页浏览器软件中，而且在内置网页浏览功能的软硬件（服务）产品中得到了广泛应用，V8引擎存在的安全缺陷会对内嵌V8引擎的软硬件产品和服务造成影响，导致关联漏洞的发生。未经身份验证的攻击者利用该漏洞，可通过精心构造恶意页面，诱导受害者访问，实现对浏览器的远程代码执行或者拒绝服务攻击。

二、影响范围

Google V8引擎漏洞导致的关联漏洞产品包括：

GoogleChrome < ="90.0.4430.72

MicrosoftEdge正式版（89.0.774.76）

微信Window版客户端< 3.2.1.141

内嵌V8引擎的软硬件产品和服务

三、处置建议

目前，谷歌、微软公司尚未发布新版本修复关联漏洞，建议师生用户使用Chrome、Edge等浏览器时，谨慎访问来源不明的文件或网页链接，并及时关注厂商的更新公告。

腾讯公司已发布微信新版本修复该漏洞，建议用户立即将微信 （Windows版）更新至最新版本。

参考链接：关于Google V8引擎远程代码执行漏洞导致微信等软件存在关联漏洞的安全公告（https://www.cnvd.org.cn/webinfo/show/6331）

信息化处

2021年4月21日