当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-034502

漏洞标题:QQ空间设计缺陷可查看他人私密说说造成隐私泄露

相关厂商:腾讯

漏洞作者: 魅影

提交时间:2013-08-16 11:38

修复时间:2013-09-30 11:38

公开时间:2013-09-30 11:38

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-16: 细节已通知厂商并且等待厂商处理中
2013-08-16: 厂商已经确认,细节仅向厂商公开
2013-08-26: 细节向核心白帽子及相关领域专家公开
2013-09-05: 细节向普通白帽子公开
2013-09-15: 细节向实习白帽子公开
2013-09-30: 细节向公众公开

简要描述:

用户私密QQ说说泄漏

详细说明:

偶然发现其中一个小小的Bug,竟然可以轻轻松松的看到好友已设置为“仅自己可见”的说说内容。为了大家的隐私安全,请小心泄密哦。
  这里所说的私密说说分两种情况,一种是在QQ空间说说模块里发表时设为加密的,另一种是在更新QQ个性签名时,选择不同步到QZone的。这两种方式所发布的说说更新,通常都不会也不可能被好友看到,是吧?
但是但是,越不容易出现问题的情况则越容易被我们所忽视。这个泄漏QZone主人加密说说的真凶,其实就是简版的空间(qz.qq.com),虽然私密说说的内容不会出现在好友的动态中,但是我们只要查看TA的说说列表,里面竟会出现对方“仅自己可见”的说说哦?

漏洞证明:

1.png

修复方案:

临时防范:在腾讯方面尚未完全修复该BUG前,请大家一定注意不要随便发表有可能造成个人隐私信息外泄或其他不适合的私密说说,否则只能是掩耳盗铃,你懂的!要是实在需要,建议可以发在空间的记事本或私密日志。同时也希望腾讯空间团队严谨对待,尽快修复此漏洞,并杜绝此类有可能造成用户隐私泄漏的问题再次发生。

版权声明:转载请注明来源 魅影@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2013-08-16 15:49

厂商回复:

感谢反馈,我们正在跟进处理中

最新状态:

暂无


漏洞评价:

评论

  1. 2013-08-16 14:53 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

  2. 2013-08-17 13:45 | Deep ( 路人 | Rank:1 漏洞数:1 | 一个小白.想要变小黑.)

    .

  3. 2013-08-17 15:17 | 魅影 ( 路人 | Rank:10 漏洞数:3 | 吾乃渗透者,求基友,各种求!)

    @鬼魅羊羔 基友你来啦。。。没办法 本人太渣渣了。。。。唉谅解哈。但是我又喜欢腾讯

  4. 2013-08-18 09:13 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @魅影 啊~

  5. 2013-08-21 12:14 | 魅影 ( 路人 | Rank:10 漏洞数:3 | 吾乃渗透者,求基友,各种求!)

    @鬼魅羊羔 你认识我的呀。。。~腾讯ID是leng_zx