360的研究人員在今年8月報告了一個被稱為BadKernel的漏洞,影響舊版本的Chrome V8 JS引擎。研究人員是從微信使用的x5內核中發現該漏洞的,微信的X5.SDK是基于Chrome V8,該漏洞是由于源代碼中“observe_accept_invalid”異常類型被誤寫為“observe_invalid_accept”。
攻擊者可利用該漏洞造成kMessages關鍵對象信息泄露,執行任意代碼。Chrome Mobile、Opera Mobile,以及基于Android 4.4.4至5.1版本系統的WebView控件開發的手機APP均可能受該漏洞影響。
該漏洞直到現在才被海外安全網站報道,可能有1/16的Android手機受到影響。
