驚爆！騰訊QQ2003Ⅲ正式版安全出現漏洞(圖)

　QQ作為國內最為強大的即時通訊軟件，其龐大的用戶群一直左右著IM軟件的發展，在其2003Ⅲ正式版中又再加入了更多的新功能，如視頻/語音聊天、共享文件服務、騰訊手機短訊通等。但不幸的是，QQ的安全問題也隨著它功能的增強而增加，這對于偶爾使用QQ的用戶影響不大，但對那些已經將QQ作為日常生活中不可分割的一部分的網民來說，QQ的安全性是他們必需要重視的問題。在本文中，我們就一起來剖析3月5日發布的QQ 2003Ⅲ 正式版存在的安全隱患，希望騰訊能及時堵住這些安全漏洞，網民們在使用QQ 2003Ⅲ 正式版時，請根據本文的介紹做好自我防護！

　　非常規下載--共享文件夾安全問題

　　首先我們先看看騰訊QQ最新開通的共享文件夾服務，該服務可以讓我們自定義一個或多個文件夾，開放給網友進行文件下載。在QQ面板上單擊“QQ菜單→工具→共享文件”，即可打開共享文件夾。

　　安全問題描述：為了更好地描述這個安全問題，讓我們先做個實驗：假設A君開設了一個名為QQBug的共享文件夾，而B君則通過QQ的共享功能從該文件夾中下載文件。我們發現，如果B君在下載文件的過程中，A君突然將共享文件夾改為“取消共享”的話，按理說B君應該下載不了那些共享文件了，但事實恰恰相反：B君在不刷新該共享目錄時，仍然可以不緊不慢地下載他所需要的文件，甚至在B君刷新了A君的共享文件夾列表后，該文件也可以照樣傳輸！當這個情況讓A君發現后，A君卻無法對B君進行任何有關阻止下載的操作，因為QQ根本沒有提供這樣的菜單讓用戶選擇。

　　安全問題分析：QQ的共享文件夾功能存在的設計隱患，可讓對方用戶下載其他用戶已經取消共享的文件，從而導致了共享方的損失，這個安全問題帶來的后果是比較嚴重的：有經驗的用戶或黑客，可以從這個安全問題里分析出更多有用的信息，令對方的損失進一步擴大。希望騰訊公司能盡快升級QQ版本，針對這個Bug做出修訂。

　　解決辦法：由于共享文件夾的缺陷，普通用戶只能采取斷線、退出QQ等方法制止對方繼續下載。

　　特別提示：由于共享文件夾相當于一個基本的P2P軟件，因此文件夾里可能有木馬等病毒，對下載回來的文件一定要用最新版本的殺毒軟件查殺病毒。

　　橫行--自定義面板安全問題

　　QQ的自定義面板服務可以讓網友自由定制喜歡的網頁作為面板，作為QQ的免費功能，它與共享文件夾一樣存在著不容忽視的安全隱患。

　　安全問題描述：單擊QQ面板上的“收藏→設置”，就能設置我們喜愛的網站作為面板，但安全問題也因此而起：由于這些頁面可以是任何可執行腳本的HTML網頁，因此當我們設置了一些具有惡意腳本的網頁時，其情形就像瀏覽器“中招”一樣，輕則被修改系統，重則被格式化硬盤。別以為我在嚇唬你，在測試這個功能的時候我們選用了一些能不斷打開新窗口的網頁，還有一些包含惡意腳本的頁面，結果發現有些在IE瀏覽器里面可以使用Ctrl+Enter阻止彈出警告框的頁面，在QQ面板里沒有給予很好的支持，導致窗口越開越多，警告框一個接一個地出現，嚴重地消耗了系統的資源。因此，如果網頁包含的是不再是彈出窗口而是格式化硬盤的代碼的話……

　安全問題分析：QQ面板很高的自由度令和網頁有可乘之機。在現在這個網絡病毒泛濫的時代，如果這種問題未在進一步擴大化前進行修訂的話，不懷好意的人甚至可以利用這個問題廣泛傳播病毒。

　　解決辦法：網頁中的惡意代碼常常令人防不勝防，建議那些主要使用QQ聊天的用戶不要使用該功能。而對那些比較有經驗的朋友，建議你們在添加自定義面板時，先確認該網頁沒有安全問題。

　　短信轟炸的幫兇--騰訊短訊通安全問題

　　短信作為現今各大營運商的重要贏利工具，它的新功能不斷地被發掘出來?，F在，QQ用戶可以向已綁定手機的朋友發送短消息、鈴聲和圖片。

　　安全問題描述：QQ的短訊通功能可以向好友發送不同的短消息，如圖1所示。但我們在使用過程中發現，用一個未綁定手機的用戶可以進行短消息的連續發送，而接收方只能被動地接受這些短信。