您好,欢迎来到网站库分类目录!
大众美图 |7个完全免费可以发外链网站当前位置:网站库分类目录 » 站长资讯 » 资讯文章 » 站长新闻 » 文章详细 订阅RssFeed

微信惊现0day漏洞 点击链接可被黑客完全控制 快升级!

来源:本站原创 浏览:46次 时间:2021-04-19

4月16日,青藤云安全和安恒信息两家厂商都发布安全警报,两者分别在服务器端和PC端发现了针对微信PC版本的黑客攻击:

根据腾讯安全中心的公告,这是因为chrome浏览器使用的V8引擎存在安全问题导致的。该漏洞仅影响windows版本的PC版微信,且只影响3.2.1.141以下版本。

虽然PC版微信理论上可以自动升级到最新版本,但因为种种原因,更新升级也许并未成功。因此用户最好手工检查一下,自己的windows版微信的版本,如果是141版以下,建议手工从微信官网下载安装包,进行更新安装。(官网地址是 pc.weixin.qq.com)


(这是我本人的微信版本,存在漏洞,易被攻击)

安恒信息在通告中说,已有单位用户受害(黑奇士注:这些单位一般是敏感单位、银行、医院等)。攻击者利用该漏洞对目标单位员工进行钓鱼攻击,他们将恶意构造的钓鱼链接发送给目标员工,当目标员工打开该链接时,触发漏洞,从而导致该员工PC被远程控制,而攻击者则进一步利用该PC作为跳板继续渗透目标单位内网。

详细攻击步骤:点击一次即被完全控制

安恒披露的攻击步骤如下:

第一、攻击者向目标用户发送恶意链接。(黑奇士注:这种链接一般经过了社会工程学伪装,比如向HR发送“待筛选简历”,向财务人员发送“本月工资表”等。点开率非常高)

第三,随后,攻击者进一步在c:\\ProgramData\目录下放置TxPortMap.exe 扫描工具并利用该工具扫描目标单位内网。

安恒指出,由于存在漏洞版本的微信内置浏览器沙箱默认关闭,导致漏洞利用难度降低,影响较大,请及时更新微信到最新版本。

验证攻击成功如图:


(图片来自安恒信息)

多个安全厂商发布警告,用户应立刻升级,尤其是敏感单位用户

青藤云安全、安恒信息、腾讯安全中心、安奇信等多个安全厂商已针对该漏洞发布警告,尤其是敏感单位用户的系统管理员,应即刻将内网微信升级到最新版本,并警告本网用户不要随意点击可疑链接。

推荐站点

  • 中国互联网博物馆中国互联网博物馆

    中国互联网博物馆是以互联网为主题的官方博物馆。作为互联网发展历史的忠实记录者,互联网科学知识的汇集普及者,互联网文化精神的弘扬传播者,以及互联网技术创新的... 中国互联网博物馆由国家互联网信息办公室、工业和信息化部、中国科学院、中国科学院、中国科学技术协会等单位指导,中国互联网络信息中心(cnnic)、中国互联网协会主办、中国科学院计算机网络信息中心、中国科学技术馆共建,是中国首家以互联网为主题的官方博物馆,旨在展现我国互联网的蓬勃发展,展示世界互联网的发展进程。在2015年12月15日正式上线,办公地点在北京。

    www.internet.cn
  • urllib网址分类目录urllib网址分类目录

    urllib网址分类目录-免费专业的网址、网站、URL分类目录_提交网址、网站、URL到我们的网站。

    www.urllib.net
  • 网上分类目录网站网上分类目录网站

    网上分类目录网站,网址目录,免费收录国内外、各行业优秀网站.免费收录网站、网址,免费提交你的网站.

    www.wangshangyule.cn
  • URL网址分类目录URL网址分类目录

    URL网址分类目录,优秀网站目录分享网站价值,提供中文网站URL网址目录网站提交,网站收录,网址大全,目录检索,网站关键字搜索功能,URL网址分类目录欢迎您登录提交网站

    www.urllibrary.com
  • 网站库网站库

    网站库 网站库网站分类目录-免费收录网站、网址,免费提交你的网站、网址到网站库,网站免费收录,网址提交,网址提交入口,网站网址大全,

    www.wangzhanku.cc
  • 360网址分类目录360网址分类目录

    360网址分类目录-免费外链、免费网址收录、免费网站收录,完全免费网址目录收录平台. Understanding China

    www.yuwang360.com