关于QQ浏览器等应用“WormBrowser”漏洞情况的通报
近日,国家信息安全漏洞库(CNNVD)收到盘古团队关于“WormBrowser”漏洞相关情况的报送,该漏洞存在于安卓版本的QQ浏览器和QQ热点两款应用中。由于上述产品在启动时,会默认开放本地端口以提供文件传输等服务,导致远程攻击者可利用该漏洞向同一局域网内的其他用户发起攻击,进而执行下载及强制安装应用程序等指令。9月22日,腾讯QQ浏览器团队发布公告,确认该漏洞存在并发布线上修复方案。由于该漏洞影响范围较广,危害较为严重,根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201609-627。
一、漏洞简介
QQ浏览器是腾讯公司开发的一款免费浏览器,QQ热点是腾讯公司开发的一款新闻资讯阅读工具,以上应用拥有PC端和手机端的多个版本。安卓版QQ浏览器6.4-6.9版本和QQ热点1.0-1.2版本中存在“WormBrowser”漏洞。上述应用在运行时会在移动设备上开放一个端口用于文件传输服务,且未经用户授权即允许同一局域网下的其他设备连接到该端口,导致攻击者可通过该端口在上述设备中执行命令,强制下载安装恶意应用。
二、漏洞危害
攻击者可利用该漏洞绕过用户认证,控制局域网内运行受影响版本QQ浏览器或QQ热点的设备进行上传数据、启动或安装应用以及在root的设备上静默安装应用。
三、修复措施
经与腾讯公司确认,“截止9月2日凌晨0点,根据腾讯公司线上监控数据,所有运行手机QQ浏览器或QQ热点的设备均修复了该漏洞,在近期发布的QQ浏览器7.0版本中和QQ热点1.3版本中,已去掉与该漏洞相关的所有功能代码。”
官方公告链接:http://bbs.mb.qq.com/thread-1418941-1-1.html
本报告由盘古团队提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式:cnnvd@itsec.gov.cn
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 北国冰雪资源释放新红利 7951510
- 2 外交部回应是否邀请特朗普访华 7984506
- 3 春节前全国有大范围雨雪和寒潮 7806609
- 4 悬崖边的上班路 7702616
- 5 第一批聪明的人已经堵路上了 7658753
- 6 李思思离开央视后首接商演 7502552
- 7 社恐女生拼车拼到俩社恐小孩 7448150
- 8 《漂白》邓立钢宋红玉买身份生孩子 7374940
- 9 重庆挤满了泰国人 7226764
- 10 第一批做主播的人开始去班味了 7132875