腾讯QQ聊天窗口漏洞安全测试报告

漏洞：腾讯QQ小秘书聊天窗口存在恶意程序执行漏洞
发现日期：070423
漏洞原理：腾讯小秘书聊天窗口允许执行某些特殊的GIF格式攻击代码。从而取得对方系统最高权限
漏洞危害：本漏洞测试结果显示，如果在小秘书特定设置里自定义上传某些特殊的包含而已代码的虚假的图片文件，当对方打开小秘书聊天窗口的时候，会自动执行黑客自定义的程序，从而取得对方系统的超级权限.
漏洞程度：严重

漏洞原理解析图如下，为了演示，特准备两个QQ用来演示本程序，并非恶意，演示只用

一开启小秘书服务，打开小秘书自动应答设置窗口    如下图所示

二上传特殊的攻击代码[把恶意代码保存成GIF图片格式   腾讯小秘书系统在这里具体过滤虚假图片没有过滤.如下图  虚假图片保存成GIF格式

之后上传本虚假GIF图片

三上传完毕，得到GIF的URL地址   如下图

四打开和本测试QQ的小秘书对话窗口，恶意程序被执行    为了演示，本攻击代码没有做任何免杀处理       如下图

五漏洞程序演示完毕