WECHAT二维码闪退分析
💡
原文中文,约4300字,阅读约需11分钟。
📝
内容提要
2023年4月23日,微信因扫描畸形二维码而出现闪退等异常情况,由于越界读取产生。GZTime发布畸形二维码制造代码,Konano发现微信开源二维码识别引擎问题代码。iOS端微信尚未修复此bug。提醒外部输入不可信,代码审计重要。
🎯
关键要点
- 2023年4月23日,微信因扫描畸形二维码出现闪退等异常情况。
- 异常情况由畸形二维码造成的越界读取引起。
- GZTime发布了制造畸形二维码的python代码。
- Konano发现微信开源二维码识别引擎中的问题代码。
- 截至2023年4月26日,iOS端微信尚未修复此bug。
- 二维码的四个纠错级别分别为L、M、Q、H。
- 二维码的版本指示二维码矩阵的大小,版本越高可存储的信息越多。
- 源代码分析显示,问题出在wechat_qrcode开源二维码识别引擎的解析代码。
- 非法访问导致的崩溃与memcpy函数的错误使用有关。
- 截至2023年4月26日,微信官方尚未对此bug进行回应。
- 事件提醒外部输入不可信,代码审计工作重要。
➡️
