发布时间:2020-01-16 10:43:09,来源:中国信息通信研究院
一、 内容概述
腾讯微信用户名存在远程代码执行漏洞,CVE编号:CVE-2019-17151。攻击者可利用该漏洞在受影响的腾讯微信上执行任意代码。
受影响版本:
WeChat < 7.0.9
二、 详细说明
微信是腾讯公司于2011年1月21日推出的一个为智能终端提供即时通讯服务的免费应用程序。
腾讯微信用户名存在远程代码执行漏洞,此漏洞使远程攻击者可以在受影响的版本上执行任意代码。利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。
特定缺陷存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。
三、 处理方法和建议
1、漏洞修复建议:
目前最新的在线版本7.0.9已修复该漏洞,建议尽快更新至最新版:
https://weixin.qq.com/
2、参考链接:
1) https://www.zerodayinitiative.com/advisories/ZDI-19-1035/