CVE ID:CVE-2019-17151
CVSS评分为8.8
受影响的供应商:腾讯
漏洞详情:
此漏洞由趋势科技移动安全研究团队的 Todd Han、Lujunzhi Dong 和Zhengyu发现。
远程攻击者可以在受影响的腾讯微信安装上执行任意代码。利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。
此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码。
利用此漏洞需要用户交互,因为目标必须与攻击者一起在聊天会话中。
漏洞存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。
在趋势安全团队的公布消息中,并未公布受影响的微信版本,但是根据这个修复的微信版本号来看,受影响的是移动端的微信,请各位记得及时更新。
额外细节
最新的在线版本7.0.9已解决此问题。
披露时间表
2019-08-13-漏洞已报告给供应商
2019-12-31-公告的协调公开发布
受影响版本
小兮提示:大家要学会学习
这个案例告诉我们,没有什么系统是不能攻破的,漏洞就在你我身边。技术人员不要天天死磕WEB渗透,刷榜也不是最终目的,发现个把漏洞,可谓价值连城。
参考链接
https://www.zerodayinitiative.com/advisories/ZDI-19-1035/
文章整合自:网络
閱讀更多 安全圈 的文章