【漏洞公告】UOS微信(Wine)存在Chrome远程代码执行漏洞(CVE-2021-21220)

公告编号:作者:USRC发布日期:2021/05/07

【漏洞公告】UOS微信(Wine)存在Chrome远程代码执行漏洞(CVE-2021-21220)

 

一、漏洞描述

国外安全研究员发布了Chrome远程代码执行0Day的POC详情,漏洞等级:严重,漏洞评分:9.8,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复版,Google:Chrome: <=89.0.4389.114仍存在此漏洞。

UOS微信使用的版本为2.9.5.41deepin7,内置使用的chrome版本为受影响版本,且默认以无沙箱模式打开链接,因此受此漏洞的影响。


二、漏洞信息

漏洞编号:CVE-2021-21220

软件包名:com.qq.weixin.deepin

  漏洞评级:高危

         CVSS3.1评分:9.8(CVE-2021-21220)

     - 桌面专业版:微信(wine)2.9.5.41deepin7

     - 服务器企业版:微信(wine)2.9.5.41deepin7


三、受影响UOS版本

  UOS桌面专业版受此漏洞影响,UOS桌面专业版使用的微信为2.9.5.41deepin7,内置使用的chrome版本为受影响版本,且默认以无沙箱模式打开链接。

  UOS企业版受此漏洞影响,UOS企业版使用的微信为2.9.5.41deepin7,内置使用的chrome版本为受影响版本,且默认以无沙箱模式打开链接。 


四、漏洞检测

  检测方法如下:

     - 打开应用商店查看微信(wine)版本。

  结果如下:

     - 输出的版本号为<3.2.1.154deepin8,受此漏洞影响。


五、修复建议

  更新UOS下的微信版本

     - UOS下的微信(wine)使用最新的微信版本 


六、修复状态

2021-04-26 响应漏洞,自查UOS内置浏览器、chrome浏览器、微信(wine)是否受此漏洞影响,并发布公告。

2021-05-07 漏洞修复,修复后的版本为微信(wine)3.2.1.154deepin8。更新范围涉及个人版、专业版、企业版、社区版的应用商店中的微信(wine)。


七、修复验证

  打开应用商店,查看微信(wine)版本号>=3.2.1.154deepin8,表示已修复版本。


八、相关链接

https://security-tracker.debian.org/tracker/CVE-2021-21220