CVE ID:CVE-2019-17151
CVSS評分為8.8
受影響的供應商:騰訊
漏洞詳情:
此漏洞由趨勢科技移動安全研究團隊的 Todd Han、Lujunzhi Dong 和Zhengyu發現。
遠程攻擊者可以在受影響的騰訊微信安裝上執行任意代碼。利用此漏洞需要用戶交互,因為目標必須與攻擊者一起在聊天會話中。
此漏洞使遠程攻擊者可以在受影響的騰訊微信版本上執行任意代碼。
利用此漏洞需要用戶交互,因為目標必須與攻擊者一起在聊天會話中。
漏洞存在於用戶名解析中。該問題是由於在使用用戶提供的字符串執行系統調用之前缺乏適當的驗證。攻擊者可以利用此漏洞在當前進程的上下文中執行代碼。
在趨勢安全團隊的公佈消息中,並未公佈受影響的微信版本,但是根據這個修復的微信版本號來看,受影響的是移動端的微信,請各位記得及時更新。
額外細節
最新的在線版本7.0.9已解決此問題。
披露時間表
2019-08-13-漏洞已報告給供應商
2019-12-31-公告的協調公開發布
受影響版本
小兮提示:大家要學會學習
這個案例告訴我們,沒有什麼系統是不能攻破的,漏洞就在你我身邊。技術人員不要天天死磕WEB滲透,刷榜也不是最終目的,發現個把漏洞,可謂價值連城。
參考鏈接
https://www.zerodayinitiative.com/advisories/ZDI-19-1035/
文章整合自:網絡
閱讀更多 安全圈 的文章