近日,一位资深网络安全专家公开了微信Linux版本的一个高危漏洞,该漏洞允许攻击者通过特制文件名实现远程代码执行(RCE)。该漏洞属于1-Click RCE,利用门槛极低:
1.交互少:仅需用户点击一次文件。
2.隐蔽性强:文件名可以伪装成各类办公文档(PDF,DOCX,XLSX),普通用户难以察觉文件名中细微的反引号差异。
3.权限高:命令以当前登录用户的权限执行。如果用户具有 sudo 免密权限或通过提权漏洞,攻击者可完全控制系统。
【2】 漏洞影响的操作系统以及用户群体
该漏洞波及的操作系统:Ubuntu、Debian、Fedora、CentOS、RHEL、Arch Linux、openSUSE等主流发行版;统信UOS、麒麟操作系统、中科方德、红旗Linux等国产信创系统;以及WSL、Linux容器等衍生环境。
影响的用户群体主要用户包括:Linux桌面用户、国产化替代系统用户(政府、央企、金融等行业)、开发者和运维人员,受影响版本微信 Linux 版 <= 4.1.0.13。
【3】 处置建议
目前官方可能还没有发布相关修复补丁,建议采用以下临时处置方案:
1.不要点击来源不明的文件:对于来源不明的文件,尤其是文件名中包含 反引号 (`)、分号 (;)、管道符 (|) 等特殊字符的文件,绝对不要在微信 Linux 版内直接点击打开。
2.使用网页版微信:在补丁发布前,建议暂时使用微信网页版进行文件传输。
3.文件重命名:如果必须接收文件,建议在文件管理器中找到下载目录,手动重命名文件后再打开。
4.版本更新:如果官方出现更新版本,一定要更新到最新版本。
来源:互联网
10个月宝宝每天需要喝多少奶粉?
