更新：[下載] 騰訊QQ推出9.7.15.29156版修復(fù)高危漏洞 請用戶立即升級新版

據(jù)網(wǎng)絡(luò)安全公司賽博昆侖發(fā)布的騰訊一篇報告，Windows 版騰訊 QQ 桌面客戶端出現(xiàn)高危安全漏洞，桌面執(zhí)行種消中招攻擊者制作特定的客戶消息轉(zhuǎn)發(fā)給 QQ 用戶或 QQ 群中，點(diǎn)擊該消息鏈接即可自動下載攻擊者制作的端存代碼文件并自動打開。

此問題影響 Windows 版 QQ 9.7.13 及之前版本，遠(yuǎn)程而目前最新版就是漏洞藍(lán)點(diǎn) 9.7.13，因此理論上這些版本都受影響，請謹(jǐn)?shù)?QQ NT 版是慎點(diǎn) 9.9 + 版，賽博昆侖沒提到這個版本，擊各可能是息免不受影響的，只不過用戶得重新安裝 QQ NT 版。騰訊

漏洞描述：

2023 年 8 月 20 日，桌面執(zhí)行種消中招賽博昆侖捕獲到利用 QQ 桌面客戶端遠(yuǎn)程執(zhí)行的客戶漏洞，該漏洞為邏輯漏洞，端存代碼攻擊者可以利用該漏洞在 QQ 客戶端上進(jìn)行無需用戶確認(rèn)的遠(yuǎn)程文件下載和執(zhí)行行為。

當(dāng)用戶點(diǎn)擊消息鏈接時，QQ 客戶端就會自動下載并打開該文件，因此攻擊者可以制作任意惡意軟件并構(gòu)造一個消息鏈接誘導(dǎo)用戶點(diǎn)擊，點(diǎn)擊后用戶將在無感知情況下被安裝木馬。

影響范圍和處置建議：

該問題影響 Windows 版 QQ 9.7.13 及之前版本，目前最新版就是 9.7.13 版，因此暫時沒有修復(fù)漏洞的新版本可用。

但 QQ NT 版版本號是 9.9 + 版，此版本是不受影響的，只不過用戶可能得重新安裝 QQ NT 版才行。

另外用戶不要點(diǎn)擊別人發(fā)來的各種消息鏈接，可以看但不要點(diǎn)擊，不然很容易中招。由于該漏洞利用方法比較簡單，可能已經(jīng)有些攻擊者開始利用這個方法進(jìn)行攻擊。

什么是消息鏈接：

即包含回復(fù)的消息，在騰訊 QQ 中，自己或別人回復(fù)消息后 QQ 會將該消息包在一個框中，點(diǎn)擊這個框可以快速查看這則消息，本質(zhì)上它是一個消息鏈接。

該漏洞利用的就是這個功能，目前已經(jīng)有安全人士進(jìn)行演示，確認(rèn)這個漏洞的存在。

特別提醒：

請各位不要嘗試自己也演示這個漏洞或者出于惡作劇目的制作這類有問題的消息鏈接發(fā)送給別人或 QQ 群里，因為這可能涉及法律相關(guān)的問題。