0
鸡年最后几天,微信破天荒推送了一则漏洞修复文章。
雷锋网消息,微信官方公众号微信派2月12日对外推文承认漏洞存在,并表示已于2月9日针对该漏洞紧急进行了版本更新,用户可尽快升级至6.63版。当然,没有升级微信版本的用户也不必担心,微信团队已第一时间对可能存在的恶意攻击,在服务端后台进行了拦截。换句话说,不管怎样,你的微信都是安全的。
围观群众纷纷露出八卦脸,要知道坐拥8亿多用户的微信此前也多次被曝出漏洞问题。如2014年,有白帽子称,只需向用户发送一个公众号文章链接,截取其中的key信息,然后就可拼接扫码登录确认页请求,从而完美劫持、登录他人微信账号。此后,微信也曾出现“两位数字+15个句号”的bug及朋友圈漏洞等事件。
为何只有这一漏洞受到了官方推文的“特殊优待”?只有一个解释,该漏洞影响极大。
漏洞提交方阿里安全实验室表示,此次微信的漏洞是一个目录遍历型漏洞,影响范围非常广,除了微信刚刚紧急发布的6.6.3版本,之前所有的安卓版本都受影响。
雷锋网了解到,虽然该漏洞本身很简单,但风险危害十分巨大,因为可以远程任意代码执行,所以理论上能做到任何事。 比如克隆微信,只需发一条消息就可以完整克隆受害者的微信账号,并实现微信钱包支付和窃取隐私信息的操控。
具体来说,微信受害者接收点击一条链接消息后,会在完全无感知的情况下被攻击者克隆账户,历史聊天记录也会被悉数窃取,攻击者甚至还能同步接收克隆账户的新消息。值得注意的是,放着大量资金的微信支付也未能幸免,都会被克隆账号操控并完成购物。
▲漏洞克隆微信操控账号演示图
除此之外,攻击者还可以完全控制受害者的微信程序,把受害者变成自己手中的“提线木偶”。
春节将至,谨慎点击
事实上,2月1日微信才正式发布6.6.2版本,2月7日收到阿里和国家相关部门通报的漏洞信息后,于2月9日连夜修复漏洞并紧急发出版6.6.3版。要知道微信惯例是在新旧两个版本间隔一月之久,此次更新提前足以看出漏洞潜在的风险之大。
“微信的聊天记录中包含了用户的诸多隐私,而微信支付关乎到我们的财产安全,所以这是一个非常严重的安全问题,如果被黑产抢先利用,会给民众的隐私和财产安全造成重大威胁。”阿里安全资深安全专家杭特表示。
春节将至,大家互相发红包和贺词已成为常态,杭特提醒大家应尽快升级微信到最新版本,同时谨慎点击陌生人发来的文件和小程序,保护好自己的隐私和财产安全。
雷锋网宅客频道,专注先锋科技领域,讲述黑客背后的故事。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。