騰訊QQ再現重大漏洞!
今天上午,烏云漏洞平臺發布一項騰訊 QQ 的新漏洞——QQ 群持久 XSS 攻擊。據了解,攻擊者只需向群內發送一個特定合法的 URL,即可在所有群用戶查看群消息時觸發惡意 Javascript 代碼(可執行 js 竊取 cookie 掛馬),從而達到盜取個人信息的目的。
該漏洞屬于 XSS (cross site scrip)跨站腳本攻擊,主要通過 QQ 群來傳播。用戶點擊攻擊者發送的 URL 后,會被強制執行嵌入的 Javascript 代碼,從而被竊取瀏覽網頁的 cookie 信息。
烏云漏洞收到漏洞報告后,已經將細節通知廠商并等待廠商處理。
中午 11 點,已經確認騰訊對漏洞緊急修復完畢,現在可以放心的看群消息了。
另外提醒用戶,QQ 群中不明來源未經安全認證的鏈接盡量不要點擊。
漏洞概要關注數(143) 關注此漏洞
缺陷編號: WooYun-2014-64446
漏洞標題: 騰訊 QQ 群持久 xss 攻擊(可執行 js 竊取 cookie 掛馬等已經有人利用)
相關廠商: 騰訊
漏洞作者: 阿布
提交時間: 2014-06-11 10:23
漏洞類型: xss 跨站腳本攻擊
危害等級: 高
漏洞狀態: 等待廠商處理
漏洞來源: http://www.wooyun.org
Tags 標簽: 無
</blockquote> 來自: 驅動之家本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!