微信支付被曝漏洞 0元随便买(3)

　　漏洞影响sf7鄂东网|www.xianzhaiwang.cn

　　雷锋网发现，目前，陌陌和vivo已经修复了相关的漏洞，但针对此漏洞，微信官方并未发布相关安全公告，也没有更新微信支付的SDK版本。sf7鄂东网|www.xianzhaiwang.cn

　　也就是说，所有使用微信支付官方SDK的商户，并且语言是JAVA的，都还处于被攻击的危险之中。sf7鄂东网|www.xianzhaiwang.cn

　　那既然微信官方都没修复，陌陌和vivo是怎么修复的？sf7鄂东网|www.xianzhaiwang.cn

　　BaCde解释，陌陌和vivo本身有相应的安全能力，可以修改SDK的相应代码进行修复，自行解决。但如果是一些小的商户，就没有这个能力了。sf7鄂东网|www.xianzhaiwang.cn

　　据悉，虽然目前该漏洞影响的是JAVA版本的SDK，但历史上已经出现过PHP版本的SDK存在同样的漏洞。据BaCde透露，这次的漏洞是XML外部实体注入漏洞，即当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。sf7鄂东网|www.xianzhaiwang.cn

　　对于攻击者来说，这么好的赚钱机会，闷声发大财就好了，为什么要选择公开攻击方式？sf7鄂东网|www.xianzhaiwang.cn

　　据白帽汇创始人赵武推测，直接公开这种级别的大杀器确实太不寻常，他这样做的原因，不排除是黑客在利用漏洞的过程中发现痕迹擦不干净，有可能被查出来，所以马上对外公布，让广大黑客群体发起攻击，以便淹没自己最初的攻击，达到隐藏自己的效果。sf7鄂东网|www.xianzhaiwang.cn

　　值得注意的是，虽然这篇在国外网站上的披露文章是英文的，但是其技术人员用了中文的标点符号，很有可能是国内的技术人员冒充外国人发的攻击详情。sf7鄂东网|www.xianzhaiwang.cn

sf7鄂东网|www.xianzhaiwang.cn
sf7鄂东网|www.xianzhaiwang.cn

微信支付被曝漏洞sf7鄂东网|www.xianzhaiwang.cn

　　腾讯已经知晓漏洞sf7鄂东网|www.xianzhaiwang.cn

　　目前，雷锋网发现，该漏洞在推特上也有安全人员提出来了，这位仁兄可能不太认识腾讯的安全小哥，直接@360来寻人，然后360把漏洞的链接发给了腾讯的人，认证为腾讯安全响应中心的人也在推特下面进行了回复，表示正在处理。sf7鄂东网|www.xianzhaiwang.cn

sf7鄂东网|www.xianzhaiwang.cn
sf7鄂东网|www.xianzhaiwang.cn

微信支付被曝漏洞sf7鄂东网|www.xianzhaiwang.cn

微信支付被曝漏洞 http://www.xianzhaiwang.cn/shehui/585458.html