更新：[下載] 騰訊QQ推出9.7.15.29156版修復(fù)高危漏洞 請用戶立即升級新版

據(jù)網(wǎng)絡(luò)安全公司賽博昆侖發(fā)布的騰訊一篇報(bào)告，Windows 版騰訊 QQ 桌面客戶端出現(xiàn)高危安全漏洞，桌面執(zhí)行種消中招攻擊者制作特定的客戶消息轉(zhuǎn)發(fā)給 QQ 用戶或 QQ 群中，點(diǎn)擊該消息鏈接即可自動(dòng)下載攻擊者制作的端存代碼文件并自動(dòng)打開。

此問題影響 Windows 版 QQ 9.7.13 及之前版本，遠(yuǎn)程而目前最新版就是漏洞藍(lán)點(diǎn) 9.7.13，因此理論上這些版本都受影響，請謹(jǐn)?shù)?QQ NT 版是慎點(diǎn) 9.9 + 版，賽博昆侖沒提到這個(gè)版本，擊各可能是息免不受影響的，只不過用戶得重新安裝 QQ NT 版。騰訊

漏洞描述：

2023 年 8 月 20 日，桌面執(zhí)行種消中招賽博昆侖捕獲到利用 QQ 桌面客戶端遠(yuǎn)程執(zhí)行的客戶漏洞，該漏洞為邏輯漏洞，端存代碼攻擊者可以利用該漏洞在 QQ 客戶端上進(jìn)行無需用戶確認(rèn)的遠(yuǎn)程文件下載和執(zhí)行行為。

當(dāng)用戶點(diǎn)擊消息鏈接時(shí)，QQ 客戶端就會(huì)自動(dòng)下載并打開該文件，因此攻擊者可以制作任意惡意軟件并構(gòu)造一個(gè)消息鏈接誘導(dǎo)用戶點(diǎn)擊，點(diǎn)擊后用戶將在無感知情況下被安裝木馬。

影響范圍和處置建議：

該問題影響 Windows 版 QQ 9.7.13 及之前版本，目前最新版就是 9.7.13 版，因此暫時(shí)沒有修復(fù)漏洞的新版本可用。

但 QQ NT 版版本號(hào)是 9.9 + 版，此版本是不受影響的，只不過用戶可能得重新安裝 QQ NT 版才行。

另外用戶不要點(diǎn)擊別人發(fā)來的各種消息鏈接，可以看但不要點(diǎn)擊，不然很容易中招。由于該漏洞利用方法比較簡單，可能已經(jīng)有些攻擊者開始利用這個(gè)方法進(jìn)行攻擊。

什么是消息鏈接：

即包含回復(fù)的消息，在騰訊 QQ 中，自己或別人回復(fù)消息后 QQ 會(huì)將該消息包在一個(gè)框中，點(diǎn)擊這個(gè)框可以快速查看這則消息，本質(zhì)上它是一個(gè)消息鏈接。

該漏洞利用的就是這個(gè)功能，目前已經(jīng)有安全人士進(jìn)行演示，確認(rèn)這個(gè)漏洞的存在。

特別提醒：

請各位不要嘗試自己也演示這個(gè)漏洞或者出于惡作劇目的制作這類有問題的消息鏈接發(fā)送給別人或 QQ 群里，因?yàn)檫@可能涉及法律相關(guān)的問題。