聊着聊着天就被攻击了？微信曾存在 用户名命令注入远程代码执行漏洞

漏洞编号为CVE-2019-17151  ，CVSS评分 8.8
漏洞由趋势科技移动安全研究团队的Todd Han

和Lujunzhi Dong，Zhengyu 发现

此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码。

利用此漏洞需要用户交互，因为目标必须与攻击者一起在聊天会话中。

漏洞存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。

最新的在线版本7.0.9已解决此问题。

 

因此微信也不是绝对的安全，平常注意聊天对象，防止被陌生人聊天攻击！

 

参考链接

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/

原文始发于微信公众号（二道情报贩子）：聊着聊着天就被攻击了？微信曾存在 用户名命令注入远程代码执行漏洞