QQ曝出高危漏洞 點聊天消息可格式化硬盤

        日前，Nuclear'Atk 網絡安全研究中心在其官網發布消息，稱騰訊 TM、QQ 產品存在遠程命令執行漏洞。黑客利用該漏洞可直接通過 QQ 消息發送窗口，執行本地文件、命令，例如讓聊天好友電腦關機、卸載某款軟件，甚至格式化硬盤。

        圖：QQ 聊天消息可執行命令

        經測試，當黑客在 QQ 及 TM 窗口中發送特定格式的網址時，由于騰訊這兩款 IM 軟件存在該漏洞，導致受害用戶點擊鏈接網址之后會被當成路徑打開，從而可以惡意執行一些程序、系統命令，造成嚴重安全隱患。

        據爆料者分析，造成該漏洞的原因或為騰訊調用的 API：ShellExecute。它的功能是打開 exe 文件、路徑，或者調用與之關聯的程序（例如：圖片、音樂、網址等），但在沒有明確指定是文件還是網址的情況下，Windows 會優先調用可執行 exe 文件，從而導致用戶以為自己點開的是網址，但實際上系統卻優先執行的是代碼指令。

        實際上，這并非 QQ 第一次爆出此類漏洞。3月 21 日，國內知名第三方漏洞平臺“烏云”，就曝光了騰訊 QQ、TM 產品存在“遠程讀取內存數據漏洞、可導致遠程溢出、拒絕服務攻擊”漏洞。與之前漏洞相比，此次盡管 QQ 漏洞威脅程度略低，卻也足以成為惡作劇者的利器了。

        截至發稿時，騰訊官方已回應正在跟進該問題。在漏洞得到修復前，建議 QQ 用戶切莫點擊畸形網址，以免造成系統損壞