• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

关于QQ浏览器等应用“WormBrowser”漏洞情况的通报

安全情报 网络收集 1年前 (2016-12-29) 276次浏览 0个评论

近日,国家信息安全漏洞库(CNNVD)收到盘古团队关于“WormBrowser”漏洞相关情况的报送,该漏洞存在于安卓版本的 QQ 浏览器和 QQ 热点两款应用中。由于上述产品在启动时,会默认开放本地端口以提供文件传输等服务,导致远程攻击者可利用该漏洞向同一局域网内的其他用户发起攻击,进而执行下载及强制安装应用程序等指令。9 月 22 日,腾讯 QQ 浏览器团队发布公告,确认该漏洞存在并发布线上修复方案。由于该漏洞影响范围较广,危害较为严重,根据 CNNVD 相关规定,已对此漏洞进行收录,并分配编号CNNVD-201609-627

关于 QQ 浏览器等应用“WormBrowser”漏洞情况的通报

一、漏洞简介

QQ 浏览器是腾讯公司开发的一款免费浏览器,QQ 热点是腾讯公司开发的一款新闻资讯阅读工具,以上应用拥有 PC 端和手机端的多个版本。安卓版 QQ 浏览器 6.4-6.9 版本QQ 热点 1.0-1.2 版本中存在“WormBrowser”漏洞。上述应用在运行时会在移动设备上开放一个端口用于文件传输服务,且未经用户授权即允许同一局域网下的其他设备连接到该端口,导致攻击者可通过该端口在上述设备中执行命令,强制下载安装恶意应用。

二、漏洞危害

攻击者可利用该漏洞绕过用户认证,控制局域网内运行受影响版本 QQ 浏览器或 QQ 热点的设备进行上传数据、启动或安装应用以及在 root 的设备上静默安装应用。

三、修复措施

经与腾讯公司确认,“截止 9 月 2 日凌晨 0 点,根据腾讯公司线上监控数据,所有运行手机 QQ 浏览器或 QQ 热点的设备均修复了该漏洞,在近期发布的 QQ 浏览器 7.0 版本中和 QQ 热点 1.3 版本中,已去掉与该漏洞相关的所有功能代码。”
官方公告链接:http://bbs.mb.qq.com/thread-1418941-1-1.html

本报告由盘古团队提供支持。

CNNVD 将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与 CNNVD 联系。

联系方式:cnnvd@itsec.gov.cn

 


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:关于 QQ 浏览器等应用“WormBrowser”漏洞情况的通报
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址