发现日期:2010-7-28
(By 不知道是谁)

o   风险(设计不严格、有其他利用可能)
o   漏洞(可以执行任意脚本及iframe)
-----------
已修复
有影响的相关软件(仅QQ系列) QQ 2010 SP1 (2010.7.26日版本)
不受影响的相关软件(仅QQ系列) QQ 2010 SP0 及以下
QQ 2010 SP1 及以上 (2010.7.29日版本)

cnBeta消息(@唯一,@http://www.cnbeta.com/articles/117703.htm),前天(7月26日)更新的QQ2010 SP1正式版本出现严重安全隐患,即消息记录中没有屏蔽HTML代码,所以可以使得任何HTML代码在里面被运行。在里面可以类似于XSS一般构建出一个IMG标签并在其OnLoad或者OnError时执行任意IE脚本,而虽然腾讯对网址作出了过滤,但是依旧可以使用转义符的方式加载URL,具体可以参考cnBeta的截图。

本文来自www.sacour.cn   转载注明来源

我安装QQ2010失败了……正在尝试安装

虚拟机中安装成功,从简单到复杂,最后发现腾讯这东西就跟开了个随便执行别人代码的IE一样...

注:下列脚本已经做了部分模糊处理,如果您眼力好硬是读出来了,保存到硬盘也可能报毒,禁止用于非法用途.

第一级:危险代码执行测试

I.使用不安全的JavaScript脚本交互,读取网络数据并向用户系统写入数据。(IE中会提示是否写入。)执行失败,但是远程数据获取成功了,应该是使用了IE控件之类的东西(?),自动否定了危险交互代码。

II.直接使用Script标签标记,虽然被识别了但是却没有弹出对话框。

III.使用不安全的VBScript脚本交互,读取网络数据并向用户系统写入数据。(IE中会执行失败,因为ADODB流不能创建对象,而VBS会执行成功)。执行失败,所以它的权限应该是和HTML一样,但是低于VBS。

IV. 使用XSS中常用的Marquee字幕测试,成功,一个红叉飘来飘去的。

V. Marquee中又嵌套一个Image对象并且试图读取cookies,没有弹出。

V - 2. 使用消息管理器可以弹出cookies,不过值是空的。

第二级:简单脚本执行测试

I.使用JavaScript弹出一个对话框,执行成功。

II.使用VBScript弹出一个对话框,执行成功。

第三级:iframe执行测试

PRE.注意事项,cnBeta中已经指明URL会被转换,而实际测试中两道反斜杠和www开头的也会被转换,所以将网址隔开是有必要的。

注:直接使用iframe写入没有测试。

I. BODY标签可以被执行。

II. iframe可以通过置入DIV中并在当前页追加一个子元素来实现:

III. 网上表示可以直接重定向,也能达到此效果(iframe对于某些人是好的实现方法,因为如果这儿把宽高改成0那么就……请当我没说)

规避方法:

1. 降级到QQ 2010 SP0

2. 等待更新版本