教育数字化知识图谱

近日，国家信息安全漏洞共享平台收录了微信Windows客户端远程代码执行漏洞，此漏洞是Google V8引擎历史漏洞的衍生关联漏洞。微信客户端（Windows版本）使用V8引擎解析JavaScript代码，并关闭了沙盒模式（--no-sandbox参数)。攻击者利用上述漏洞，构造恶意钓鱼链接并通过微信发送，在引诱受害者使用微信客户端（Windows版）点击钓鱼链接后，可获取远程主机的控制权限，实现远程代码执行攻击。
电子邮件服务组件Exchange存在个远程命令执行高危漏洞（CVE-2021-28480、CVE-2021-28481、CVE-2021-28482 、CVE-2021-28483），攻击者利用这些漏洞能够在未经身份验证的情况下，无需用户交互远程执行任意命令。

一、漏洞影响范围
Google V8引擎漏洞导致的关联漏洞产品包括：
GoogleChrome < = 90.0.4430.72
MicrosoftEdge正式版（ 89.0.774.76）
微信Window版客户端 < 3.2.1.141
内嵌V8引擎的软硬件产品和服务
Exchange Server漏洞影响版本：
Exchange Server 2013 Cumulative Update 23
Exchange Server 2016 Cumulative Update 20
Exchange Server 2016 Cumulative Update 19
Exchange Server 2019 Cumulative Update 9
Exchange Server 2019 Cumulative Update 8

二、漏洞处置建议
目前，谷歌、微软公司尚未发布新版本修复关联漏洞，CNVD建议用户使用Chrome、Edge等浏览器时不要关闭默认的沙盒模式，谨慎访问来源不明的文件或网页链接，并及时关注厂商的更新公告。

请排查是否部署了受漏洞影响的Exchange产品，及时安装官方补丁，修复漏洞，以免发生安全事件。

Exchange Server微软安全更新公告地址： https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
Exchange Server补丁安装链接：
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28482
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483