今天上午,乌云漏洞平台发布一项腾讯 QQ 的新漏洞——QQ 群持久 XSS 攻击。据了解,攻击者只需向群内发送一个特定合法的 URL,即可在所有群用户查看群消息时触发恶意 Javascript 代码(可执行 js 窃取 cookie 挂马),从而达到盗取个人信息的目的。
该漏洞属于 XSS (cross site scrip)跨站脚本攻击,主要通过 QQ 群来传播。用户点击攻击者发送的 URL 后,会被强制执行嵌入的 Javascript 代码,从而被窃取浏览网页的 cookie 信息。
乌云漏洞收到漏洞报告后,已经将细节通知厂商并等待厂商处理。
中午 11 点,已经确认腾讯对漏洞紧急修复完毕,现在可以放心的看群消息了。
另外提醒用户,QQ 群中不明来源未经安全认证的链接尽量不要点击。
漏洞概要关注数(143) 关注此漏洞
缺陷编号: WooYun-2014-64446
漏洞标题: 腾讯 QQ 群持久 xss 攻击(可执行 js 窃取 cookie 挂马等已经有人利用)
相关厂商: 腾讯
漏洞作者: 阿布
提交时间: 2014-06-11 10:23
漏洞类型: xss 跨站脚本攻击
危害等级: 高
漏洞状态: 等待厂商处理
漏洞来源: http://www.wooyun.org
Tags 标签: 无