QQ曝出高危漏洞 點聊天消息可格式化硬盤

時間：2015-03-14 08:51:34 來源：a5創業欄目 點擊量：490

　　日前，Nuclear'Atk網絡安全研究中心在其官網發布消息，稱騰訊TM、QQ產品存在遠程命令執行漏洞。黑客利用該漏洞可直接通過QQ消息發送窗口，執行本地文件、命令，例如讓聊天好友電腦關機、卸載某款軟件，甚至格式化硬盤。

　　圖：QQ聊天消息可執行命令

　　經測試，當黑客在QQ及TM窗口中發送特定格式的網址時，由于騰訊這兩款IM軟件存在該漏洞，導致受害用戶點擊鏈接網址之后會被當成路徑打開，從而可以惡意執行一些程序、系統命令，造成嚴重安全隱患。

　　據爆料者分析，造成該漏洞的原因或為騰訊調用的API：ShellExecute。它的功能是打開exe文件、路徑，或者調用與之關聯的程序(例如：圖片、音樂、網址等)，但在沒有明確指定是文件還是網址的情況下，Windows 會優先調用可執行exe文件，從而導致用戶以為自己點開的是網址，但實際上系統卻優先執行的是代碼指令。

　　實際上，這并非QQ第一次爆出此類漏洞。3月21日，國內知名第三方漏洞平臺“烏云”，就曝光了騰訊 QQ、TM 產品存在“遠程讀取內存數據漏洞、可導致遠程溢出、拒絕服務攻擊”漏洞。與之前漏洞相比，此次盡管QQ漏洞威脅程度略低，卻也足以成為惡作劇者的利器了。

　　截至發稿時，騰訊官方已回應正在跟進該問題。在漏洞得到修復前，建議QQ用戶切莫點擊畸形網址，以免造成系統損壞。