更新:[下載] 騰訊QQ推出9.7.15.29156版修復(fù)高危漏洞 請(qǐng)用戶立即升級(jí)新版
據(jù)網(wǎng)絡(luò)安全公司賽博昆侖發(fā)布的騰訊一篇報(bào)告,Windows 版騰訊 QQ 桌面客戶端出現(xiàn)高危安全漏洞,桌面執(zhí)行種消中招攻擊者制作特定的客戶青島外圍大圈伴游(電話微信156-8194-*7106)真實(shí)上門外圍上門外圍女快速安排30分鐘到達(dá)消息轉(zhuǎn)發(fā)給 QQ 用戶或 QQ 群中,點(diǎn)擊該消息鏈接即可自動(dòng)下載攻擊者制作的端存代碼文件并自動(dòng)打開(kāi)。
此問(wèn)題影響 Windows 版 QQ 9.7.13 及之前版本,遠(yuǎn)程而目前最新版就是漏洞藍(lán)點(diǎn) 9.7.13,因此理論上這些版本都受影響,請(qǐng)謹(jǐn)?shù)?QQ NT 版是慎點(diǎn) 9.9 + 版,賽博昆侖沒(méi)提到這個(gè)版本,擊各可能是息免不受影響的,只不過(guò)用戶得重新安裝 QQ NT 版。騰訊青島外圍大圈伴游(電話微信156-8194-*7106)真實(shí)上門外圍上門外圍女快速安排30分鐘到達(dá)
漏洞描述:
2023 年 8 月 20 日,桌面執(zhí)行種消中招賽博昆侖捕獲到利用 QQ 桌面客戶端遠(yuǎn)程執(zhí)行的客戶漏洞,該漏洞為邏輯漏洞,端存代碼攻擊者可以利用該漏洞在 QQ 客戶端上進(jìn)行無(wú)需用戶確認(rèn)的遠(yuǎn)程文件下載和執(zhí)行行為。
當(dāng)用戶點(diǎn)擊消息鏈接時(shí),QQ 客戶端就會(huì)自動(dòng)下載并打開(kāi)該文件,因此攻擊者可以制作任意惡意軟件并構(gòu)造一個(gè)消息鏈接誘導(dǎo)用戶點(diǎn)擊,點(diǎn)擊后用戶將在無(wú)感知情況下被安裝木馬。
影響范圍和處置建議:
該問(wèn)題影響 Windows 版 QQ 9.7.13 及之前版本,目前最新版就是 9.7.13 版,因此暫時(shí)沒(méi)有修復(fù)漏洞的新版本可用。
但 QQ NT 版版本號(hào)是 9.9 + 版,此版本是不受影響的,只不過(guò)用戶可能得重新安裝 QQ NT 版才行。
另外用戶不要點(diǎn)擊別人發(fā)來(lái)的各種消息鏈接,可以看但不要點(diǎn)擊,不然很容易中招。由于該漏洞利用方法比較簡(jiǎn)單,可能已經(jīng)有些攻擊者開(kāi)始利用這個(gè)方法進(jìn)行攻擊。
什么是消息鏈接:
即包含回復(fù)的消息,在騰訊 QQ 中,自己或別人回復(fù)消息后 QQ 會(huì)將該消息包在一個(gè)框中,點(diǎn)擊這個(gè)框可以快速查看這則消息,本質(zhì)上它是一個(gè)消息鏈接。
該漏洞利用的就是這個(gè)功能,目前已經(jīng)有安全人士進(jìn)行演示,確認(rèn)這個(gè)漏洞的存在。
特別提醒:
請(qǐng)各位不要嘗試自己也演示這個(gè)漏洞或者出于惡作劇目的制作這類有問(wèn)題的消息鏈接發(fā)送給別人或 QQ 群里,因?yàn)檫@可能涉及法律相關(guān)的問(wèn)題。