360的研究人員在今年8月報(bào)告了一個(gè)被稱(chēng)為BadKernel的漏洞,影響舊版本的Chrome V8 JS引擎。研究人員是從微信使用的x5內(nèi)核中發(fā)現(xiàn)該漏洞的,微信的X5.SDK是基于Chrome V8,該漏洞是由于源代碼中“observe_accept_invalid”異常類(lèi)型被誤寫(xiě)為“observe_invalid_accept”。
攻擊者可利用該漏洞造成kMessages關(guān)鍵對(duì)象信息泄露,執(zhí)行任意代碼。Chrome Mobile、Opera Mobile,以及基于Android 4.4.4至5.1版本系統(tǒng)的WebView控件開(kāi)發(fā)的手機(jī)APP均可能受該漏洞影響。
該漏洞直到現(xiàn)在才被海外安全網(wǎng)站報(bào)道,可能有1/16的Android手機(jī)受到影響。