【不要和陌生人说话】微信爆名称命令注入远程执行代码漏洞

CVE ID：CVE-2019-17151

CVSS评分为8.8

受影响的供应商：腾讯

受影响的产品：微信

漏洞详情：

此漏洞由趋势科技移动安全研究团队的 Todd Han、Lujunzhi Dong 和Zhengyu发现。

远程攻击者可以在受影响的腾讯微信安装上执行任意代码。利用此漏洞需要用户交互，因为目标必须与攻击者一起在聊天会话中。

此漏洞使远程攻击者可以在受影响的腾讯微信版本上执行任意代码。

利用此漏洞需要用户交互，因为目标必须与攻击者一起在聊天会话中。

漏洞存在于用户名解析中。该问题是由于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者可以利用此漏洞在当前进程的上下文中执行代码。

在趋势安全团队的公布消息中，并未公布受影响的微信版本，但是根据这个修复的微信版本号来看，受影响的是移动端的微信，请各位记得及时更新。

额外细节

最新的在线版本7.0.9已解决此问题。

披露时间表

2019-08-13-漏洞已报告给供应商

2019-12-31-公告的协调公开发布

受影响版本

安卓/IOS微信 < 7.0.9

参考链接

https://www.zerodayinitiative.com/advisories/ZDI-19-1035/