腾讯QQ客户端被曝远程代码执行漏洞，腾讯官方紧急升级新版本

前言

很多“大佬”看到了这个漏洞详情都嗤之以鼻，“不就是文件下载后点击执行吗？这也算漏洞？”，其实还真不是，二者还是有区别的。

“大佬”说的这种情况根本不算漏洞，发送文件，诱导对方下载后双击执行，我想稍微有点安全意识的人就不会去执行的。但是，这个漏洞是发送文件后，不需要对方主动下载，只要你把文件放在回复内容里面，对方就可能因为好奇去点击回复详情，就会后台自动触发漏洞。漏洞触发只需要点击下面红框区域！

正文

2023 年 8 月 20 日，赛博昆仑捕获到利用 QQ 桌面客户端远程代码执行的漏洞， 该漏洞为逻辑漏洞，攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的 文件下载执行行为，当用户点击消息链接时，QQ 客户端会自动下载并打开文件， 最终实现远程代码执行的目的。目前腾讯官方已经升级最新版！

1. 漏洞详情

漏洞名称：QQ 客户端远程代码执行漏洞

威胁程度：

该漏洞为逻辑漏洞，利用 QQ 客户端的逻辑缺陷进行攻击，被攻击方在点击消息 内容（链接）时，不会弹窗提示，自动下载执行，在攻击者利用的层面，可降低 攻击者钓鱼等攻击手段的难度。

处置建议：

1、升级最新版本QQ。

2、提示用户谨慎点击消息链接。

3、升级或安装终端安全软件，用于检测落盘的文件是否异常。

漏洞类型：    1Day

厂商：腾讯

产品官网链接：https://im.qq.com/pcqq

影响范围：QQ Windows 版 9.7.13 及以前版本

漏洞所在功能模块：文档传输下载模块

漏洞攻击效果：远程代码执行

2. 漏洞原理

该漏洞为逻辑漏洞，腾讯 QQ windows 客户端的“文件传输消息”在经过“回复 消息”功能处理后，该文件会变为无需任何弹窗确认，点击消息文本后即可自 动下载并打开文件的处理方式。

3. 漏洞演示

1. 准备一个可执行文件或者批处理，例如  1.bat，将  1.bat 发送给自己， 产生一个文件传输消息在聊天窗口中。

echo "calc" > 1.bat

2. 在聊天窗口中回复该消息，发送给自己。

注意：用QQ发送给自己，然后用手机去回复这条消息（电脑不能回复，所以只能用手机）

3. 转发最后一次发送的消息给目标。

4. 目标点击消息内容，即可自动下载并打开文件。此过程中无任何弹窗和 提示。

注意：需要对方点击一下消息链接，最好是点击文件后缀名处。

阅读 10万+