360的研究人员在今年8月报告了一个被称为BadKernel的漏洞,影响旧版本的Chrome V8 JS引擎。研究人员是从微信使用的x5内核中发现该漏洞的,微信的X5.SDK是基于Chrome V8,该漏洞是由于源代码中“observe_accept_invalid”异常类型被误写为“observe_invalid_accept”。
攻击者可利用该漏洞造成kMessages关键对象信息泄露,执行任意代码。Chrome Mobile、Opera Mobile,以及基于Android 4.4.4至5.1版本系统的WebView控件开发的手机APP均可能受该漏洞影响。