據(jù)金山毒霸安全實(shí)驗(yàn)室5月7日透露，金山毒霸安全實(shí)驗(yàn)室研究人員進(jìn)行例行漏洞檢查過程中，發(fā)現(xiàn)QQ旋風(fēng)存在一鮮為人知的緩沖區(qū)溢出0day漏洞，***者可以利用該漏洞制造惡意URL，使用IE6，7內(nèi)核的各種瀏覽器均會受此漏洞的影響。 金山毒霸安全實(shí)驗(yàn)室安全專家指出，該0day漏洞屬于緩沖區(qū)溢出0day漏洞，可導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行。由于QQ旋風(fēng)在處理下載鏈接時(shí)，沒有做必要的邊界檢查。***者可構(gòu)造惡意網(wǎng)頁，當(dāng)用戶點(diǎn)擊這些惡意URL時(shí)，會下載任意代碼，并可在當(dāng)前用戶權(quán)限執(zhí)行，該漏洞可被用來大規(guī)模傳播病毒***。該漏洞影響QQ旋風(fēng)2.7(625)及以下版本，當(dāng)用戶同時(shí)使用IE6、IE7內(nèi)核的瀏覽器，并使用QQ旋風(fēng)為缺省下載工具時(shí)，會面臨很大威脅。 按照微軟對系統(tǒng)漏洞的等級劃分標(biāo)準(zhǔn)，QQ旋風(fēng)的這個緩沖區(qū)溢出0day漏洞應(yīng)該屬于最高級別的漏洞（critical ）。在IE8下面雖然瀏覽器的默認(rèn)安全策略限制了***可以獲得的權(quán)限，但仍可用于***傳播，屬于嚴(yán)重的漏洞級別。病毒***傳播組織往往在黑市高價(jià)收購類似的高危漏洞信息。 據(jù)悉，QQ旋風(fēng)的用戶群超過5千萬，在下載工具中的占有率僅次于迅雷。在金山毒霸安全實(shí)驗(yàn)室報(bào)告這個漏洞之前，從未有其它第三方安全機(jī)構(gòu)報(bào)告過QQ旋風(fēng)的高危漏洞。金山毒霸安全實(shí)驗(yàn)室拒絕透露該0day漏洞的任何技術(shù)細(xì)節(jié)，在金山毒霸安全實(shí)驗(yàn)室的虛擬實(shí)驗(yàn)中，金山網(wǎng)盾成功防御了利用該緩沖區(qū)溢出漏洞的惡意網(wǎng)頁***。金山毒霸安全實(shí)驗(yàn)室的負(fù)責(zé)人稱，由于金山和騰訊多年來有著良好的合作傳統(tǒng)，金山方面將向騰訊公司提供全部完整的漏洞分析資料，QQ旋風(fēng)的用戶無須過于擔(dān)心，只需要關(guān)注QQ旋風(fēng)的升級消息及時(shí)更新軟件版本，或者訪問www.duba.net下載金山網(wǎng)盾以防御可能面臨的危機(jī)。

總結(jié)

以上是生活随笔為你收集整理的QQ旋风爆缓冲区溢出漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。