QQ2010 现聊天记录漏洞,请尽快升级
[color=#ff0000][size=5]近日,腾讯QQ出现严重漏洞,请会员尽快检查您的QQ并更新版本,以免造成不必要的损失。[/size][/color]
QQ一向是腾讯主打的产品,意想不到前天发布的QQ2010SP1竟然有如此大漏洞。用户可以随意在消息中使用Javascript、Html,腾讯并没有对此进行有效的屏蔽。
下面看看这个漏洞。
脚本出错还会提示错误
[attach]3674[/attach]
部分代码确实可以在聊天记录中执行
[attach]3680[/attach]
1、消息记录的Javascript、Html标签没有屏蔽
[attach]3675[/attach]
2、消息盒子Javascript、Html标签没有屏蔽
[attach]3676[/attach]
3、小实验
发送代码:<input />
因为腾讯会自动将url转换,我们必须混淆url才能发送
[attach]3677[/attach]
[attach]3678[/attach]
4、超牛代码
<img src=’tetet’ />
因为要点击才能触发,想到一个不用点击就能触发的代码。希望腾讯快点修复,本漏洞由TGL发现。
[attach]3679[/attach]
[color=#ff0000][size=5]目前,QQ2010正式版sp1安全漏洞已经可以在线更新补丁.[/size][/color]
[color=#ff0000][size=5]各位可以在聊天记录测试一下是否存在漏洞,如存在,请尽快更新.[/size][/color]
新版网址 [url=http://im.qq.com/qq/2010/standard_sp1/###]http://im.qq.com/qq/2010/standard_sp1/###[/url]
也可在原QQ上更新,如下图:
[attach]3681[/attach]
[attach]3682[/attach]
以上内容为雷特搜集网上素材后综合整理。