近日,国家信息安全漏洞共享平台收录了微信Windows客户端远程代码执行漏洞,此漏洞是Google V8引擎历史漏洞的衍生关联漏洞。微信客户端(Windows版本)使用V8引擎解析JavaScript代码,并关闭了沙盒模式(--no-sandbox参数)。攻击者利用上述漏洞,构造恶意钓鱼链接并通过微信发送,在引诱受害者使用微信客户端(Windows版)点击钓鱼链接后,可获取远程主机的控制权限,实现远程代码执行攻击。
电子邮件服务组件Exchange存在个远程命令执行高危漏洞(CVE-2021-28480、CVE-2021-28481、CVE-2021-28482 、CVE-2021-28483),攻击者利用这些漏洞能够在未经身份验证的情况下,无需用户交互远程执行任意命令。
一、漏洞影响范围
Google V8引擎漏洞导致的关联漏洞产品包括:
GoogleChrome < = 90.0.4430.72
MicrosoftEdge正式版( 89.0.774.76)
微信Window版客户端 < 3.2.1.141
内嵌V8引擎的软硬件产品和服务
Exchange Server漏洞影响版本:
Exchange Server 2013 Cumulative Update 23
Exchange Server 2016 Cumulative Update 20
Exchange Server 2016 Cumulative Update 19
Exchange Server 2019 Cumulative Update 9
Exchange Server 2019 Cumulative Update 8
二、漏洞处置建议
目前,谷歌、微软公司尚未发布新版本修复关联漏洞,CNVD建议用户使用Chrome、Edge等浏览器时不要关闭默认的沙盒模式,谨慎访问来源不明的文件或网页链接,并及时关注厂商的更新公告。
请排查是否部署了受漏洞影响的Exchange产品,及时安装官方补丁,修复漏洞,以免发生安全事件。
Exchange Server微软安全更新公告地址:https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
Exchange Server补丁安装链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28482
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483