腾讯QQ2003Ⅲ正式版安全出现漏洞-zt

fanyf

腾讯QQ2003Ⅲ正式版安全出现漏洞
2004年04月06日10:32:35　赛迪网　

　　QQ作为国内最为强大的即时通讯软件，其庞大的用户群一直左右着IM软件的发展，在其2003Ⅲ正式版中又再加入了更多的新功能，如视频/语音聊天、共享文件服务、腾讯手机短讯通等。但不幸的是，QQ的安全问题也随着它功能的增强而增加，这对于偶尔使用QQ的用户影响不大，但对那些已经将QQ作为日常生活中不可分割的一部分的网民来说，QQ的安全性是他们必需要重视的问题。在本文中，我们就一起来剖析3月5日发布的QQ 2003Ⅲ 正式版存在的安全隐患，希望腾讯能及时堵住这些安全漏洞，网民们在使用QQ 2003Ⅲ 正式版时，请根据本文的介绍做好自我防护！

　　非常规下载--共享文件夹安全问题

　　首先我们先看看腾讯QQ最新开通的共享文件夹服务，该服务可以让我们自定义一个或多个文件夹，开放给网友进行文件下载。在QQ面板上单击“QQ菜单→工具→共享文件”，即可打开共享文件夹。

　　安全问题描述：为了更好地描述这个安全问题，让我们先做个实验：假设A君开设了一个名为QQBug的共享文件夹，而B君则通过QQ的共享功能从该文件夹中下载文件。我们发现，如果B君在下载文件的过程中，A君突然将共享文件夹改为“取消共享”的话，按理说B君应该下载不了那些共享文件了，但事实恰恰相反：B君在不刷新该共享目录时，仍然可以不紧不慢地下载他所需要的文件，甚至在B君刷新了A君的共享文件夹列表后，该文件也可以照样传输！当这个情况让A君发现后，A君却无法对B君进行任何有关阻止下载的操作，因为QQ根本没有提供这样的菜单让用户选择。

　　安全问题分析：QQ的共享文件夹功能存在的设计隐患，可让对方用户下载其他用户已经取消共享的文件，从而导致了共享方的损失，这个安全问题带来的后果是比较严重的：有经验的用户或黑客，可以从这个安全问题里分析出更多有用的信息，令对方的损失进一步扩大。希望腾讯公司能尽快升级QQ版本，针对这个Bug做出修订。

　　解决办法：由于共享文件夹的缺陷，普通用户只能采取断线、退出QQ等方法制止对方继续下载。

　　特别提示：由于共享文件夹相当于一个基本的P2P软件，因此文件夹里可能有木马等病毒，对下载回来的文件一定要用最新版本的杀毒软件查杀病毒。

更详细的情况请看：

http://www.duba.net/c/2004/04/06/110590.shtml