近日,一张二维码的照片突然在全网流传,使用微信扫描或打开该图片将导致微信出现闪退。
而如果短时间多次闪退,微信将进入安全模式,账号被强制登出。文章源自千电号-http://www.xmxqx.com/17755.html
近些年随着二维码的普及,连街边烤红薯的老大爷都会扫码了,这是移动支付的大普及,但也让一些不法分子有了可乘之机。文章源自千电号-http://www.xmxqx.com/17755.html
很多人因为扫描二维码被骗,比如一些快递箱上出现的扫码送礼物之类的也都是一些骗局,通过各种套路一步步从完成任务领红包、到下载软件充值垫付,不断加大投入后,发现自己的本金和佣金都无法提出。文章源自千电号-http://www.xmxqx.com/17755.html
另外还有一些二维码会跳转病毒、木马链接,或者是一个恶意APP的下载链接、或是钓鱼网址、甚至是转账页面。文章源自千电号-http://www.xmxqx.com/17755.html
如果不慎遇到二维码骗局,将会导致银行卡账号、密码、姓名等个人信息泄露、钱财被盗等安全威胁。文章源自千电号-http://www.xmxqx.com/17755.html
目前,用户已经发现,导致该问题的是微信扫码引擎中的一个内存读写Bug,此类恶意制作的图片,将会通过无效的内存访问导致wechat_qrcode模块崩溃。文章源自千电号-http://www.xmxqx.com/17755.html
具体来说,根据GitHub用户Konano和GZTimeWalker的发现,该问题出现在
DecodedBitStreamParser::decodeByteSegment中。文章源自千电号-http://www.xmxqx.com/17755.html
如果传入的参数bits_是内容为空,但长度非零的ByteSegment,此时bits.available () 将返回0,而count也将被更新为0.文章源自千电号-http://www.xmxqx.com/17755.html
但与此同时,nBytes并没有更新,而是保持非0,这将导致后续的append函数访问空指针readBytes读取nBytes数据,导致程度异常终止。文章源自千电号-http://www.xmxqx.com/17755.html
目前,已经有用户在GitHub提交了该Bug的代码修复,预计微信官方将在下个版本整合用户的修复补丁。文章源自千电号-http://www.xmxqx.com/17755.html
虽然闪退并不会对微信的使用造成严重影响,但基于使用安全考虑,在微信官方修复问题前,最好还是不要在微信中打开或扫描存在问题的二维码。文章源自千电号-http://www.xmxqx.com/17755.html文章源自千电号-http://www.xmxqx.com/17755.html
