今天上午,乌云漏洞平台发布一项腾讯QQ的新漏洞——QQ群持久XSS攻击。据了解,攻击者只需向群内发送一个特定合法的URL,即可在所有群用户查看群消息时触发恶意Javascript代码(可执行js窃取cookie挂马),从而达到盗取个人信息的目的。
该漏洞属于XSS(cross site scrip)跨站脚本攻击,主要通过QQ群来传播。用户点击攻击者发送的URL后,会被强制执行嵌入的Javascript代码,从而被窃取浏览网页的cookie信息。
乌云漏洞收到漏洞报告后,已经将细节通知厂商并等待厂商处理。
中午11点,已经确认腾讯对漏洞紧急修复完毕,现在可以放心的看群消息了。
另外提醒用户,QQ群中不明来源未经安全认证的链接尽量不要点击。
