今天要说的漏洞应该是个存在多年的隐患,其效果是只要白帽子通过QQ找你聊天,你的电脑就被悄悄的植入了木马程序…该漏洞存在于旧版QQ(大约是2014年4、5月份的版本),目前QQ不受影响,大家可放心使用。今天内容只用于技术分享。
这是大家再熟悉不过的QQ聊天面板,其中非常显眼的就是右侧华丽的QQ秀(乌云君至今还是光腚少年),这QQ秀其实就是机遇Flash技术实现的,也为安全漏洞埋下了隐患。
QQ秀又有个叫心情文字的功能,本来是吐槽用的,结果这里竟然可以写入恶意代码,简单的利用就是让你的计算机突然打开一个网页,或者打开你本地的计算器程序。
此处省略两万字,在经过白帽子的各自技巧分析后,又找到了远程在用户计算机上执行任意命令的方案。
完整的漏洞分析细节请参见乌云漏洞报告原文,相信你会从中获取很多剑走偏锋的技巧:)该漏洞由于某次功能更新而失效,所以用户可以放心使用。但换个角度,沟通程序的安全性,并不是让人那么放心。
WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台。
漏洞编号:WooYun-2015-137693,点击下方“阅读原文”可查看细节
本文始发于微信公众号(乌云漏洞报告平台):QQ 上聊着聊着,你的电脑就被我控制了…
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论