公告编号:TPSA12-14公告来源:TSRC发布日期:2012-11-20
腾讯安全应急响应中心得到热心网友反馈,互联网上出现名为《WIN8系统的远程桌面漏洞 利用QQ拼音纯净版实现提权》的文章,文章指出QQ拼音输入法存在漏洞。
腾讯安全应急响应中心经过跟进,确认该漏洞已于11月6日掌握细节并于11月8日发布新版本解决。以下为该漏洞处理情况
【漏洞描述】
在攻击者能物理接触机器或者远程连接到 Windows 终端服务的情况下,某个旧版本QQ拼音输入法可能导致绕过 Windows 8 登录机制从而控制计算机
【受影响版本】
仅影响Windows 8 上的QQ拼音1220版本,其他版本不受影响
【修复方案】
升级到最新版(1.1.1221.400)或者安装其他非1220的版本(注:开启QQ拼音输入法的自动更新功能将自动修复漏洞,目前绝大部分用户已经不受漏洞影响,也请自动更新失败或未设置自动更新的用户手动更新至最新版)
【漏洞处理过程】
11月 6日 小鱼通过乌云漏洞报告平台向腾讯安全应急响应中心反馈Win8下QQ拼音提权漏洞
11月 7日 确认漏洞存在(影响1220版本的QQ输入法)
11月 8日 QQ输入法团队发布新版本(1.1.1221.400)
11月20日 漏洞细节被公开,发布安全公告
【致谢】
感谢漏洞报告者小鱼及乌云漏洞报告平台
【腾讯安全漏洞处理流程介绍】
腾讯一直非常重视产品和业务的安全问题,除了建设专门的安全团队和安全系统以外,还积极引入外部力量。腾讯参考借鉴了国外Google、Facebook、微软、苹果等公司的做法,于今年5月开展了“漏洞奖励计划”并推出了“漏洞反馈平台”,邀请广大安全专家帮助腾讯发现和修复安全问题。截至目前,已有超过100位安全专家帮助腾讯修复了很多安全问题,第一时间保护了广大用户的利益。目前该计划正在积极推进,欢迎更多的安全专家加入。
捐款成功,感谢您的无私奉献