微信“BadKernel”漏洞情况的紧急通报

2016年08月24日 14:07 2020

阿里聚安全紧急通告(2016-001)

BADKERNEL远程命令执行漏洞



漏洞风险概况

编号:2016-001
日期:2016-08-24
发布:阿里聚安全

漏洞风险详情

风险标题:BADKERNEL远程命令执行漏洞

风险描述:
受影响的版本:基于Android 4.4.4至5.1版本系统的WebView控件(使用Chrome V8引擎3.20至4.2版本)开发的手机APP。

远程攻击者可通过如下手段进行攻击:
(1)诱使用户扫描二维码;
(2)诱使用户点击恶意链接。

利用该漏洞可造成如下危害:
(1)用户隐私泄露,如通讯录、聊天记录被盗等;
(2)用户财产损失,如账号、登录密码、支付密码被盗;
(3)远程控制用户手机。

该漏洞是由于V8引擎源代码中“observe_accept_invalid”异常类型被误写为“observe_invalid_accept”, 造成kMessages关键对象信息泄露引起的。

风险等级:

检查方法:
在浏览器中输入Chrome://version查看系统V8引擎,在应用的webview中加载以下POC页面,若弹出object则存在漏洞,若弹出undefined则不存在漏洞:

<script>

var kMessages;

Object.prototype.__defineGetter__("observe_accept_invalid",function(){kMessages=this});

try{Object.observe({},function(){},1)}catch(e){}

delete Object.prototype["observe_accept_invalid"];

alert(kMessages);

</script>

修复方案:

(1)使用系统的webview,提醒用户及时升级系统;

(2)使用第三方浏览器组件的,及时更新浏览器组件;

(3)应用加载非可信URL时提醒用户注意风险。



参考链接

http://www.cnnvd.org.cn/vulnerability/show/cv_id/2016080414

http://toutiao.com/a6321578006067380482/

http://jaq.alibaba.com/community/art/show?&articleid=485


标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录