漏洞概要
关注数(24)
关注此漏洞
漏洞标题:黑产在用的一枚QQ邮箱xss漏洞点击一下就上了你邮箱(iCloud黑产正在使用该漏洞)
相关厂商:腾讯
提交时间:2015-12-28 10:56
修复时间:2016-02-09 23:29
公开时间:2016-02-09 23:29
漏洞类型:XSS 跨站脚本攻击
危害等级:高
自评Rank:10
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-12-28: 细节已通知厂商并且等待厂商处理中
2015-12-28: 厂商已经确认,细节仅向厂商公开
2016-01-07: 细节向核心白帽子及相关领域专家公开
2016-01-17: 细节向普通白帽子公开
2016-01-27: 细节向实习白帽子公开
2016-02-09: 细节向公众公开
简要描述:
2015年12月27日晚发生的事件,银河安全实验室说该漏洞腾讯已经修复
但是问题还是发生了。老婆的iphone6被偷,然后又拿了一台iphone6继续使用,appleID没有改,修改了密码,没有启动二次验证,安全邮箱是QQ邮箱。
详细说明:
12月初老婆手机丢了,报警,设置丢失模式,然后又拿了一个iphone6来用,用同一个ID,后来发现没有设置二次验证。appleID是微软的邮箱,安全邮箱是QQ邮箱。
一开始骗子各种钓鱼短信发来,没有理睬。后来月中的时候,看到一个提示iphone已经进入丢失模式,然后查找我的iphone进去就显示离线了,不能使用历史位置,估计乘半夜刷机开机,然后获取到appleID和安全邮箱。后来就各种钓鱼的邮件就来了,发到了微软邮箱的有,QQ邮箱的有。
有一天QQ邮箱收到一个自称收了一台手机的人的邮件,里面实际是一个图片,老婆第一时间转发给我了,我在电脑上点了一下图片链接,没有任何东西,我就没有在意了。图片上文字说有你手机的照片链接,还有留下一个QQ号码…………我用我的QQ加他没有理我。
27日我晚上想起这件事,我就用老婆的iphone QQ上去加了他的QQ,他马上同意,并且发来说你的手机我们收到,下面两个链接是图片和淘宝链接,我没有注意我就点了一下,我想我不输入任何东西和不下载,他应该没有啥办法。
但是一两分钟后,就出现了系统提示appleid 密码要求重新输入,马上打开查找iphone 就是密码不对。然后用另外一个设备进去马上通过密码问题把密码重设回来,查找iphone丢失的那台机器就不见了……
漏洞证明:
图片是邮件的显示图:
图片的链接是:http://dwz.cn/2lVGYb
如下是邮件的全文:
QQ那边由于我已近删除了那个人,找不到聊天记录了……
利用代码如下:
测试效果如下:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2015-12-28 17:23
厂商回复:
非常感谢您的报告,该问题其它白帽子已在腾讯安全应急响应中心报告过,我们正在积极修复中。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无