双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號:CNTA-2021-0016

2021年4月17日，國家信息安全漏洞共享平臺（CNVD）收錄了微信Windows客戶端遠程代碼執(zhí)行漏洞（CNVD-2021-29068）。攻擊者利用該漏洞，通過發(fā)送釣魚鏈接并引誘用戶點擊，可獲取遠程主機控制權限。目前，漏洞細節(jié)尚未公開，廠商已發(fā)布新版本完成修復。此漏洞是Google V8引擎歷史漏洞的衍生關聯(lián)漏洞。

一、漏洞情況分析

美國谷歌（Google）公司開發(fā)維護的V8引擎是一款開源JavaScript引擎，通過將JavaScript代碼編譯成原生機器碼，并使用內(nèi)聯(lián)緩存等多種技術提高腳本的編譯和執(zhí)行性能。V8引擎支持多操作系統(tǒng)，具有較好的可移植和跨平臺特性。V8引擎支持多種宿主環(huán)境的嵌入，實現(xiàn)JavaScript語言在多個領域中的應用。

V8引擎不僅被廣泛應用于Google Chrome、Microsoft Edge等網(wǎng)頁瀏覽器軟件中，而且在內(nèi)置網(wǎng)頁瀏覽功能的軟硬件（服務）產(chǎn)品中得到了廣泛應用，異步服務器框架Node.js也使用V8引擎解析JavaScript。V8引擎存在的安全缺陷會對內(nèi)嵌V8引擎的軟硬件產(chǎn)品和服務造成影響，導致關聯(lián)漏洞的發(fā)生。

近幾年，V8引擎曾多次被研究者發(fā)現(xiàn)存在高危漏洞。其中，Google V8引擎遠程代碼執(zhí)行漏洞（CNVD-2021-29059，對應CVE-2021-21220）相關細節(jié)已公開，谷歌公司尚未發(fā)布新版本修復該漏洞。未經(jīng)身份驗證的攻擊者利用該漏洞，可通過精心構(gòu)造惡意頁面，誘導受害者訪問，實現(xiàn)對瀏覽器的遠程代碼執(zhí)行或者拒絕服務攻擊,但攻擊者單獨利用上述漏洞無法實現(xiàn)沙盒（SandBox）逃逸。沙盒是Google Chrome瀏覽器的安全邊界，防止惡意攻擊代碼破壞用戶系統(tǒng)或者瀏覽器其他頁面。沙盒保護模式在Google Chrome瀏覽器中默認開啟。CNVD對該漏洞的綜合評級為“高?！薄?/p>

2021年4月17日，國家信息安全漏洞共享平臺收錄了微信Windows客戶端遠程代碼執(zhí)行漏洞，此漏洞是Google V8引擎歷史漏洞的衍生關聯(lián)漏洞。微信客戶端（Windows版本）使用V8引擎解析JavaScript代碼，并關閉了沙盒模式（--no-sandbox參數(shù))。攻擊者利用上述漏洞，構(gòu)造惡意釣魚鏈接并通過微信發(fā)送，在引誘受害者使用微信客戶端（Windows版）點擊釣魚鏈接后，可獲取遠程主機的控制權限，實現(xiàn)遠程代碼執(zhí)行攻擊。CNVD對該漏洞的綜合評級為“高?！?。

二、漏洞影響范圍

Google V8引擎漏洞導致的關聯(lián)漏洞產(chǎn)品包括：

GoogleChrome < = 90.0.4430.72

MicrosoftEdge正式版（ 89.0.774.76）

微信Window版客戶端 < 3.2.1.141

內(nèi)嵌V8引擎的軟硬件產(chǎn)品和服務

三、漏洞處置建議

目前，谷歌、微軟公司尚未發(fā)布新版本修復關聯(lián)漏洞，CNVD建議用戶使用Chrome、Edge等瀏覽器時不要關閉默認的沙盒模式，謹慎訪問來源不明的文件或網(wǎng)頁鏈接，并及時關注廠商的更新公告。

騰訊公司已發(fā)布微信新版本修復該漏洞，建議用戶立即將微信 （Windows版）更新至最新版本。

產(chǎn)品內(nèi)嵌谷歌V8引擎的軟硬件（服務）廠商應對集成的V8引擎版本進行自查，更新引擎至最新版本，同時及時關注谷歌公司的安全更新公告，并通過沙盒模式調(diào)用該引擎。

附：參考鏈接：

https://twitter.com/frust93717815/status/1382301769577861123

https://www.google.com/chrome/

https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ

https://paper.seebug.org/1557/

感謝CNVD技術組支撐單位——杭州安恒信息技術股份有限公司、北京知道創(chuàng)宇信息技術股份有限公司對本報告提供的技術支持。