转:QQ腾讯2010SP1发布即现严重漏洞（漏洞已修复 见11楼）

sdyt6383985

QQ腾讯2010SP1发布即现严重漏洞：

腾讯QQ一向是腾讯主打的产品，意想不到前天发布的QQ2010SP1竟然有如此大漏洞。
首先囧一下:脚本出错还会提示错误


1、消息记录的Javascript、Html标签没有屏蔽



2、消息盒子Javascript、Html标签没有屏蔽



3、小实验

1、发送代码：<input />

因为腾讯会自动将url转换，我们必须混淆url才能发送







4、超牛代码

<img src=’tetet’/>

因为要点击才能触发，想到一个不用点击就能触发的代码。

5、希望腾讯快点修复，这个漏洞非同小可

6、本漏洞由TGL发现。



注意，本代码仅供研究之用，请勿用于不当用途。
如打算规避漏洞带来的风险，请下载SP0版本，看来SP1版本的changelog得修改为“更新了一些漏洞”。


转自：http://www.win7china.com/html/7399.html

独伊renee

LZ说的我不懂，但今天腾讯把我气翻了
氧化钙你腾讯，本不想骂的，那个空间真的让我冒火
还只会要钱

backconan

软件看来还是别盲目更新的好
另外这个QQ群的名字有点雷人

江户川柯南

如我所料!
如我所料!
如我所料!

落の雁

因为09出了点问题就换成10的了。。。不过。。。自从升级后也没用过了= =

SyaoRan_Li

PIDGIN的插件被疼逊PB了- -结果我每天用PIDGIN上的话晚上0点一定掉线，还要激活才能继续上，搞毛啊麻花疼？想变菊花疼了么- -

Cici_MM

在cnbeta上看到了。。
俺的就是这杯具的SP1！！
翻了下聊天记录，记录里面的换行全没了，都挤成了一大段。。
考虑下降级回2010正式版。。

lemeilleur

用TM的路过。。

sdyt6383985

QQ2010 SP1漏洞已经修复腾讯的危机应急能力很高。在14:56:32秒已经打包新版本并在首页提供下载。一个小风波就在几个小时静悄悄的来，静悄悄的走了。
希望腾讯以后也不要犯低级错误咯，如果还发现有Bug，可以重新下载QQ2010 SP1。
从图中可以看到MsgMgr.dll是元凶，已经在14:02:54秒重新签名，漏洞提交给腾讯为早上9点。



转自：http://www.win7china.com/html/7415.html

〖Sola】

……
怎么感觉我看了半天都没看懂……

所谓的最新的不一定是最好的么~
嗯嗯~点头~

快斗新一

希望TX早早解决啊

稻香

还好因为懒，没有升。。。阿门

“党风廉政交流群”。。。

不过看不懂。。。

sdyt6383985

回复 快斗新一 的帖子


    问题腾讯已经解决了，如果已安装了QQ2010 SP1可以在线升级安装补丁，也可以在官网重新下载QQ2010 SP1

快斗新一

我已经重装完了，谢谢LS

mjbeatall

那花点时间再升一次吧

Kaito_キツト

纯打酱油的= =

xuhaokun2009

那个群的名字。。。党风廉政。。。。

whoami

这样的啊，虽然补上了，还是小心比较好吧