发布时间:2021-04-20 13:51:07,来源:杭州安恒信息技术股份有限公司、北京奇虎科技有限公司
一、基本情况
近日,监测发现微信(Windows客户端)存在一个高危的在野0day漏洞,该漏洞是微信内置浏览器调用了V8引擎解析JavaScript代码,并关闭沙盒模式(--no-sandbox参数),导致漏洞利用难度降低,影响较大。攻击者利用该漏洞,通过构造恶意的钓鱼链接发送至目标用户,当目标用户打开该链接时,触发漏洞,最终获取用户PC控制权限。目前,厂商已发布新版本完成修复,建议广大用户及时将微信(Windows客户端)升级到3.2.1.141及以上版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 影响范围
微信 Window版客户端 < 3.2.1.141
三、 安全建议
腾讯官方已紧急发布新版本修复该漏洞,微信Windows客户端会自动审计,用户也可以通过“设置”-“关于微信”-“升级版本”升级至3.2.1.141及以上版本。
四、 参考链接
https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ