ＱＱ漏洞惹人煩

春節(jié)前，小馬哥想給師傅郭巨俠拜個年，可是剛登錄QQ就彈出了一個自動升級的窗口，難道QQ出了安全問題？

看到強制升級窗口后（圖1），小馬哥擔心自己的QQ不安全了，聯(lián)系到師傅后先沒顧得上拜年，就扔了一串問題過去。小馬哥很疑惑：“QQ也有漏洞？從來沒有聽說過呢，以前只知道Windows有各種各樣的漏洞。”

師傅介紹道：“每款軟件或多或少地都存在各種各樣的漏洞，也就是人們常說BUG中的一類。QQ是一款即時通訊軟件，當然也可能存在著各種各樣的漏洞。QQ的漏洞安全問題主要來源有兩個，一種是受Windows系統(tǒng)的漏洞影響，另一種則是由于自身的緣故造成的。”

QQ的漏洞

小馬接著問道：“QQ出現(xiàn)過那些漏洞呢？”

“QQ以前出現(xiàn)的漏洞主要是拒絕服務漏洞，大多造成QQ的崩潰退出。在此之前，對QQ造成最大危害的是2004年的‘Windows GDI+ JPG解析組件緩沖區(qū)溢出漏洞’。這個漏洞的影響范圍很廣，是一個高危漏洞，QQ也受其牽連。利用它，黑客可以在QQ中發(fā)送含有惡意代碼的自定義表情或者自定義圖片，對其他用戶進行入侵攻擊”。

小馬哥似懂非懂：“這次的QQ漏洞是什么原因造成的呢？”

郭巨俠說：“雖然QQ已經不是第一次出現(xiàn)漏洞了，但是像這樣高危的漏洞還是第一次。造成這次QQ漏洞的主要原因是，QQ目錄中的VQQPLAYER.OCX文件存在一個棧溢出錯誤。這是由ActiveX插件造成的，所以只要用戶在系統(tǒng)安裝過QQ，甚至不登錄就可能被黑客利用。”

漏洞的危害

聽說不用登錄即可利用這個漏洞，小馬急不可待地詢問如何利用這個漏洞。郭巨俠說自從這個漏洞曝光以后，利用該漏洞的利用工具層出不窮，不過利用方式基本上都是一樣的。

首先要準備一個木馬程序，這樣可以在利用該漏洞入侵以后進行遠程控制。接著運行QQ漏洞的利用工具，在“木

馬地址”選項中輸入木馬程序的網絡地址，點擊“生成”按鈕就可以創(chuàng)建利用該QQ漏洞的文件（圖2）。生成的利用文件來是一個網頁文件，換句話說該漏洞的利用文件是網頁木馬。

如果該網頁被黑客植入到網站里，用戶瀏覽后就會激活該漏洞，自動下載網頁中的木馬程序并執(zhí)行。最后黑客完全可以利用木馬程序遠程控制用戶的計算機系統(tǒng)，進行文件復制、下載、刪除等操作。

巧合的是，最近新浪UC這款IM軟件也爆出了高危漏洞，該漏洞的爆發(fā)原因居然和QQ漏洞出奇的相似，利用方式幾乎是一模一樣（圖3）。

最好的防范：及時升級

聽了師傅的介紹后，小馬已經深知這個漏洞的厲害，所以馬上問師傅如何防范該漏洞。郭巨俠說：“目前由于騰訊QQ擁有大量的用戶數(shù)量，而且該漏洞的影響面也非常的大，包括QQ2006正式版及之前的所有版本都會受到該漏洞的影響，所以騰訊方面強行要求用戶升級QQ程序。所以用戶只需要及時將自己的QQ程序升級到最新的版本即可。”