据网络安全公司赛博昆仑发布的一篇报告,Windows 版腾讯 QQ 桌面客户端出现高危安全漏洞,攻击者制作特定的消息转发给 QQ 用户或 QQ 群中,点击该消息链接即可自动下载攻击者制作的文件并自动打开。
此问题影响 Windows 版 QQ 9.7.13 及之前版本,而目前最新版就是 9.7.13,因此理论上这些版本都受影响,但 QQ NT 版是 9.9 + 版,赛博昆仑没提到这个版本,可能是不受影响的,只不过用户得重新安装 QQ NT 版。
漏洞描述:
2023 年 8 月 20 日,赛博昆仑捕获到利用 QQ 桌面客户端远程执行的漏洞,该漏洞为逻辑漏洞,攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载和执行行为。
当用户点击消息链接时,QQ 客户端就会自动下载并打开该文件,因此攻击者可以制作任意恶意软件并构造一个消息链接诱导用户点击,点击后用户将在无感知情况下被安装木马。
影响范围和处置建议:
该问题影响 Windows 版 QQ 9.7.13 及之前版本,目前最新版就是 9.7.13 版,因此暂时没有修复漏洞的新版本可用。
但 QQ NT 版版本号是 9.9 + 版,此版本是不受影响的,只不过用户可能得重新安装 QQ NT 版才行。
另外用户不要点击别人发来的各种消息链接,可以看但不要点击,不然很容易中招。由于该漏洞利用方法比较简单,可能已经有些攻击者开始利用这个方法进行攻击。
什么是消息链接:
即包含回复的消息,在腾讯 QQ 中,自己或别人回复消息后 QQ 会将该消息包在一个框中,点击这个框可以快速查看这则消息,本质上它是一个消息链接。
该漏洞利用的就是这个功能,目前已经有安全人士进行演示,确认这个漏洞的存在。
特别提醒:
请各位不要尝试自己也演示这个漏洞或者出于恶作剧目的制作这类有问题的消息链接发送给别人或 QQ 群里,因为这可能涉及法律相关的问题。
版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。