QQ曝出高危漏洞 点聊天消息可格式化硬盘

日前，Nuclear'Atk 网络安全研究中心在其官网发布消息，称腾讯 TM、QQ 产品存在远程命令执行漏洞。黑客利用该漏洞可直接通过 QQ 消息发送窗口，执行本地文件、命令，例如让聊天好友电脑关机、卸载某款软件，甚至格式化硬盘。

　　图：QQ 聊天消息可执行命令

　　经测试，当黑客在 QQ 及 TM 窗口中发送特定格式的网址时，由于腾讯这两款 IM 软件存在该漏洞，导致受害用户点击链接网址之后会被当成路径打开，从而可以恶意执行一些程序、系统命令，造成严重安全隐患。

　　据爆料者分析，造成该漏洞的原因或为腾讯调用的 API：ShellExecute。它的功能是打开 exe 文件、路径，或者调用与之关联的程序（例如：图片、音乐、网址等），但在没有明确指定是文件还是网址的情况下，Windows 会优先调用可执行 exe 文件，从而导致用户以为自己点开的是网址，但实际上系统却优先执行的是代码指令。

　　实际上，这并非 QQ 第一次爆出此类漏洞。3月 21 日，国内知名第三方漏洞平台“乌云”，就曝光了腾讯 QQ、TM 产品存在“远程读取内存数据漏洞、可导致远程溢出、拒绝服务攻击”漏洞。与之前漏洞相比，此次尽管 QQ 漏洞威胁程度略低，却也足以成为恶作剧者的利器了。

　　截至发稿时，腾讯官方已回应正在跟进该问题。在漏洞得到修复前，建议 QQ 用户切莫点击畸形网址，以免造成系统损坏。