日前,Nuclear'Atk网络平安研究中心在其官网发布消息,称腾讯TM、QQ产品存在远程命令执行缝隙。黑客操纵该缝隙可直接通过QQ消息发送窗口,执行本地文件、命令,例如让聊天老友电脑关机、卸载某款软件,甚至格局化硬盘。
图:QQ聊天消息可执行命令
经测试,当黑客在QQ及TM窗口中发送特定格局的网址时,由于腾讯这两款IM软件存在该缝隙,致使受害用户点击链接网址之后会被当作路径打开,从而可以歹意执行一些法度、系统命令,造成严重平安隐患。
据爆料者阐发,造成该缝隙的原因或为腾讯挪用的API:ShellExecute。它的功能是打开exe文件、路径,或挪用与之关联的法度(例如:图片、音乐、网址等),但在没有明确指定是文件仍是网址的情况下,Windows 会优先挪用可执行exe文件,从而致使用户以为自己点开的是网址,但实际上系统却优先执行的是代码指令。
实际上,这并不是QQ第一次爆出此类缝隙。3月21日,国内知名第三方缝隙平台“乌云”,就曝光了腾讯 QQ、TM 产品存在“远程读取内存数据缝隙、可致使远程溢出、谢绝办事抨击打击”缝隙。与之前缝隙相比,此次虽然QQ缝隙威胁水平略低,却也足以成为恶作剧者的利器了。
截至发稿时,腾讯官方已回应正在跟进该问题。在缝隙取得修复前,建议QQ用户切莫点击畸形网址,以免造成系统损坏。