欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CNNVD:关于微信“藏蛟”漏洞情况的通报

来源:本站整理 作者:佚名 时间:2017-01-15 TAG: 我要投稿


近日,国家信息安全漏洞库(CNNVD)收到关于微信Android客户端访问控制错误漏洞(CNNVD-201701-100)的情况报送,并于第一时间与腾讯安全应急响应中心(TSRC)进行了沟通。TSRC收到漏洞通报后,确认该漏洞存在,并于1月10日确认漏洞已修复。漏洞相关情况如下:
一、 漏洞简介
腾讯微信(WeChat)是中国腾讯(Tencent)公司的一套跨平台的免费通讯工具。该工具支持发送语音短信、视频、图片和文字等。微信Android客户端是针对于Android系统推出的版本。
微信Android客户端存在访问控制错误漏洞(CNNVD-201701-100)。该漏洞是由于微信客户端收藏功能未做权限校验,使得攻击者可以在普通权限的情况下,通过本地木马或者恶意APP获取该客户端的数据库文件,通过某种方式解密该文件后进而获得用户的隐私信息并上传到远程服务器。
二、 漏洞危害
攻击者可通过本地木马或者恶意利用该漏洞访问微信客户端的任意私有目录,窃取数据库文件并解密,从而得到用户的隐私信息,例如好友列表,聊天记录等。
三、 修复措施
目前,微信官方已在6.5.3及以上版本修复了该漏洞,对于历史版本也以Android热补丁技术修复了该漏洞。
本报告由蚂蚁金服巴斯光年安全实验室(AFLSLab)提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载