墨知软件供应链安全技术社区
漏洞报告
QQ是一款广泛应用于多个平台的即时通讯软件。
在QQ的Windows版客户端,版本9.7.15之前的版本中,存在一个逻辑设计上的缺陷。当消息中引用到文件时,用户只需单击即可直接完成下载并打开操作,这一过程中缺少对潜在风险的警告提示。
攻击者可能会利用这一特性,诱导用户点击运行含有恶意的木马文件,从而实现对用户主机的控制。
漏洞名称
腾讯QQ Windows版客户端“一点击远程代码执行”风险漏洞。
漏洞类型
该漏洞属于从非可信控制范围包含功能例程类型。
发现时间
该漏洞于2023年8月21日被发现。
影响范围
该漏洞影响广泛,所有QQ Windows版,版本在9.7.15之前的用户都会受到影响。
漏洞编号
MPS编号:MPS-0z86-njh3
修复建议
为了防范此漏洞,建议用户:
1. 谨慎点击消息中引用的文件。
2. 尽快将QQ Windows版升级到9.7.15或更高版本。
参考链接
墨知安全网.com/hd/MPS-0z86-njh3
关于墨菲安全公司介绍
墨菲安全是一家专注于软件供应链安全管理的科技公司。我们的核心团队来自于百度、华为等知名企业。我们致力于为客户提供一站式的软件供应链安全管理解决方案,以软件全生命周期的安全管理为核心,提供包括软件成分分析、源安全管理、容器镜像检测等服务。我们拥有全面的平台能力,包括但不限于漏洞情报预警及商业软件供应链准入评估等。我们的产品可以无缝集成到现有的开发流程中,包括IDE、Gitlab、Bitbucket、Jenkins等数十种工具。我们致力于为客户提供从供应链资产识别管理、风险检测到安全控制的完整解决方案。
免费开源项目:/墨菲安全团队/墨菲安全平台/?sf=qbyj
免费代码安全检测工具:墨知安全.com/?sf=qbyj 订阅免费情报:墨知安全资讯网.com/cm/?sf=qbyj 以上是关于我们对当前发现的腾讯QQ的安全漏洞的理解和分析。我们将持续关注此类问题并及时更新相关信息。同时我们也提供了免费的安全工具和情报订阅链接,希望能帮助大家提高网络安全意识并有效应对此类风险。
