Windows QQ 客户端存在远程代码执行漏洞

出品|开源中国

Windows 版腾讯 QQ 桌面客户端出现高危安全漏洞，目前尚未修复，利用难度极低、危害非常大。攻击者只需要构造一个极其简单的消息链接即可：当用户在 QQ 好友或 QQ 群里点击该消息链接，QQ 就会自动下载并打开这个恶意文件。

此问题影响 Windows 版 QQ 9.7.13 及之前版本，而目前最新版就是 9.7.13，因此理论上这些版本都受影响，不过 QQ NT 版是 9.9 +，赛博昆仑没提到这个版本，所以应该是不受影响，只不过用户得重新安装 QQ NT 版。

漏洞描述：

2023 年 8 月 20 日，赛博昆仑捕获到利用 QQ 桌面客户端远程执行的漏洞，该漏洞为逻辑漏洞，攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载和执行行为。

当用户点击消息链接时，QQ 客户端就会自动下载并打开该文件，因此攻击者可以制作任意恶意软件并构造一个消息链接诱导用户点击，点击后用户将在无感知情况下被安装木马。

影响范围和处置建议：

该问题影响 Windows 版 QQ 9.7.13 及之前版本，目前最新版就是 9.7.13 版，因此暂时没有修复漏洞的新版本可用。

但 QQ NT 版版本号是 9.9 + 版

，此版本是不受影响的，只不过用户可能得重新安装 QQ NT 版才行。

另外用户不要点击别人发来的各种消息链接，可以看但不要点击，不然很容易中招。由于该漏洞利用方法比较简单，可能已经有些攻击者开始利用这个方法进行攻击。

什么是消息链接：

即包含回复的消息，在腾讯 QQ 中，自己或别人回复消息后 QQ 会将该消息包在一个框中，点击这个框可以快速查看这则消息，本质上它是一个消息链接。

该漏洞利用的就是这个功能，目前已经有安全人士进行演示，确认这个漏洞的存在。