QQ曝出高危漏洞 点聊天消息可格式化硬盘
来源:互联网 发布:网络编程怎么学 编辑:程序博客网 时间:2024/04/30 09:49
日前,Nuclear'Atk 网络安全研究中心在其官网发布消息,称腾讯 TM、QQ 产品存在远程命令执行漏洞。黑客利用该漏洞可直接通过 QQ 消息发送窗口,执行本地文件、命令,例如让聊天好友电脑关机、卸载某款软件,甚至格式化硬盘。
图:QQ 聊天消息可执行命令
经测试,当黑客在 QQ 及 TM 窗口中发送特定格式的网址时,由于腾讯这两款 IM 软件存在该漏洞,导致受害用户点击链接网址之后会被当成路径打开,从而可以恶意执行一些程序、系统命令,造成严重安全隐患。
据爆料者分析,造成该漏洞的原因或为腾讯调用的 API:ShellExecute。它的功能是打开 exe 文件、路径,或者调用与之关联的程序(例如:图片、音乐、网址等),但在没有明确指定是文件还是网址的情况下,Windows 会优先调用可执行 exe 文件,从而导致用户以为自己点开的是网址,但实际上系统却优先执行的是代码指令。
实际上,这并非 QQ 第一次爆出此类漏洞。3月 21 日,国内知名第三方漏洞平台“乌云”,就曝光了腾讯 QQ、TM 产品存在“远程读取内存数据漏洞、可导致远程溢出、拒绝服务攻击”漏洞。与之前漏洞相比,此次尽管 QQ 漏洞威胁程度略低,却也足以成为恶作剧者的利器了。
截至发稿时,腾讯官方已回应正在跟进该问题。在漏洞得到修复前,建议 QQ 用户切莫点击畸形网址,以免造成系统损坏。
- QQ曝出高危漏洞 点聊天消息可格式化硬盘
- SSL 3.0曝出高危漏洞
- 火狐浏览器曝出“魔镜”高危漏洞 木马可被“拖”入电脑
- Photoshop曝高危漏洞 黑客可发动远程攻击
- Photoshop也曝高危漏洞 可被远程攻击
- 卡巴斯基在线杀毒曝高危漏洞 用户可被攻击
- 每个QQ都可领取30-100QB。 骗你小狗 utr7t(千万不要点进去,腾讯出漏洞了)
- TP-LINK漏洞门被曝高危 可致用户隐私泄露
- zabbix再现高危SQL注入漏洞,可获操作系统权限
- 瑞星杀毒软件被曝高危漏洞
- QQ聊天界面注意点
- 漏洞预警:zabbix再爆高危SQL注入漏洞,可获操作系统权限
- 风讯4高危漏洞
- JAVA突现高危漏洞
- Struts2爆高危漏洞
- openssl heartbleed高危漏洞
- FFMPEG的高危漏洞
- QQ高危漏洞危及IE 某IT网站被植“熊猫烧香”
- 工作进度
- 新手谈C数组_&a、&a[0]、a
- 在20分钟到1个小时内找到你的人生目标
- How to change Rails App name
- 订餐系统总结(二)sqlserver 与excel
- QQ曝出高危漏洞 点聊天消息可格式化硬盘
- Perl 精萃
- MyEclipse中VSS的使用详解
- Java AWT 布局管理器 练习代码
- https://sourceforge.net/p/libwsi/wiki libwsi iOS移动开发解决方案
- C++中* (星号) 与取址 介绍
- 在 WSI 中使用 C++ 开发 iOS 应用
- 小议Post与Get方法提交
- 使用HTMLPaser解析HTML数据