360的研究人員在今年8月報告了一個被稱為badkernel的漏洞,影響舊版本的chrome v8 js引擎。
研究人員是從微信使用的x5核心中發現該漏洞的,微信的x5.sdk是基于chrome v8,該漏洞是由于源代碼中“observe_accept_invalid”異常類型被誤寫為“observe_invalid_accept”。
攻擊者可利用該漏洞造成kmessages關鍵對象資訊洩露,執行任意代碼。chrome mobile、opera mobile,以及基于android 4.4.4至5.1版本系統的webview控件開發的手機app均可能受該漏洞影響。該漏洞直到現在才被海外安全網站報道,可能有1/16的android 手機受到影響。