腾讯TIM已经发布安全更新解决火绒发现的TX升级程序被劫持问题

上周日火绒安全团队发现有攻击者借助路由器劫持腾讯QQ/TIM系列软件的升级程序并利用漏洞向用户投放病毒

实际上腾讯的升级程序存在校验问题因此无法检测到被篡改的升级包,也正是如此攻击者才想到通过路由来劫持。

想要成功利用漏洞并展开攻击的话并不算容易,所幸这次攻击并没有运营商参与不然那真可能引起大规模的感染。

腾讯TIM已经发布新版本修复:

蓝点网经过测试发现现在的腾讯TIM已经可以检测到新版本,这个新版本小版本号略微有些变化说明是修复版本。

虽然腾讯没发布公告说这个版本就是用来修复火绒发现的漏洞的,但TIM已经挺长时间没更新因此不会突然更新。

所以往好处想就是TIM团队已经率先将这枚漏洞修复,许多年没更新的QQ 轻聊版大概率应该是不会再获得更新。

其他版本如QQ 桌面平台的正式版及QQ 国际版等请用户自行检测,国际版和轻聊版命运差不多估计也不会修复。

蓝点网此前消息:

火绒安全实验室在分析后发现这个漏洞利用过程不涉及本地存在的劫持,大概率是运营商劫持或者路由劫持投毒。

而用户给出的反馈是路由器曾经刷过第三方的路由固件,火绒工程师由此向路由器劫持方向跟进并追查劫持线索。

追踪过程中火绒团队发现当腾讯QQ系列发送升级请求后,其请求升级地址遭到劫持并下载 txudp.exe 的病毒包。

经过分析火绒工程师发现是用户路由器劫持腾讯QQ的升级网址,然后直接向用户下发伪造的 txudp.exe 程序包。

正常情况下的升级逻辑是将本地软件的版本信息发送给服务器,之后腾讯服务器按照版本信息下发对应的升级包。

而在这个过程中腾讯此前修复会增加升级内容的校验,只要校验通过后就会自动解压指定的压缩包并执行其程序。

由于存在漏洞黑客制作的病毒包可通过校验,因此在劫持下发包后腾讯便按照预设流行自动解压并安装运行病毒。

最终用户可能在完全不知情的情况下遭到病毒的感染,估计用户也不可能想到升级QQ 都能给自己电脑带来病毒。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1
限时免费领取正版套装:全方位PDF软件文电通PDF 5正版套装
哇哦恭喜您已成功屏蔽了蓝点网的小广告

评论:

5 条评论,访客:5 条,站长:0 条
  1. Elephant
    Elephant发布于: 
    Chromium Edge 78.0.249.1 Chromium Edge 78.0.249.1 Windows 10 64位版 Windows 10 64位版

    前两年就已经摆脱了QQ,如果再能够放弃weixin就好了,太多时间浪费在那些无聊的东西上

  2. 晶漩焰
    晶漩焰发布于: 
    Firefox 69.0 Firefox 69.0 Windows 10 64位版 Windows 10 64位版

    我问过火绒运营了,TIM的更新确实修复了漏洞

  3. ksosu
    ksosu发布于: 
    Google Chrome 76.0.3809.100 Google Chrome 76.0.3809.100 Windows 7 64位版 Windows 7 64位版

    自从用了tim,再也不想装qq,虽然群聊经常看不到别人的昵称

  4. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.5000 Maxthon 5.2.7.5000 Windows 10 64位版 Windows 10 64位版

    一直使用QQ,还没有用过腾讯TIM呐!

发表评论