漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-043240
漏洞标题:QQ消息管理器存在设计缺陷(多版本bug)
相关厂商:腾讯
漏洞作者: 花生^_^
提交时间:2013-11-18 14:37
修复时间:2014-02-13 14:38
公开时间:2014-02-13 14:38
漏洞类型:设计错误/逻辑缺陷
危害等级:低
自评Rank:1
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-18: 细节已通知厂商并且等待厂商处理中
2013-11-20: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-01-14: 细节向核心白帽子及相关领域专家公开
2014-01-24: 细节向普通白帽子公开
2014-02-03: 细节向实习白帽子公开
2014-02-13: 细节向公众公开
简要描述:
QQ消息管理器存在设计缺陷
详细说明:
上一次提交这个漏洞没有通过审核,我这次写详细些。
我专门在网上把腾讯QQ的历史版本都找出来了,好辛苦。发现这个问题存在已经有整整一年了啊!【从2012年11月发布的QQ2013 Beta1到现在的最新的QQ2013SP4】我觉得这不能说影响不大。
为了说明问题,我在计算机上安装了冰点还原精灵(Deep Freeze)7.51,每次重启计算机后测试一个QQ版本。
测试版本:QQ2012 正式版
由于QQ2012的消息管理器在删除消息记录时没有【一段时间】这个选项,所以不存在问题。
测试版本:QQ2013 Beta1(5459)【2012年11月发布的版本】
如图,打开消息管理器,在某个分组上点右键,选删除消息记录
在新窗口再选 只删除【一段时间】的消息记录,然后在下方的日历中选时间段。
问题出来了:开始时间任意选(只要比截止时间早就行),截止时间选择 1/3/5/7/8/10/12月 的 31日 时,就会出现【所选时间段有误,请重新选择】的删除提示!图中测试的是10月31日
因此用户无法删除指定时间段的消息记录。
在腾讯QQ2013的接下来的一系列版本中一直存在这个大小月的问题,我截取一些例子
测试版本:QQ2013SP2【2013年9月13日】更新的
出现【所选时间段有误,请重新选择】的删除提示!
测试版本:QQ2013SP4【2013年11月5日】更新的,目前最新版。
出现【所选时间段有误,请重新选择】的删除提示!
由此观之,QQ消息管理器这个大小月的问题在QQ2013的版本中一直存在,而且这么长的时间依然没有修复。或许没有多少用户发现这问题,但希望这次提交的漏洞能够通过审核,提醒腾讯在新版本中修复这个小细节,毕竟细节决定成败!!
漏洞证明:
如图,在QQ2013中,问题一直存在:
修复方案:
其实这个大小月的细节很好修复,只是设计缺陷,你懂的。
版权声明:转载请注明来源 花生^_^@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-02-13 14:38
厂商回复:
非常感谢您的报告,该问题属于bug,并不属于安全问题,我们会同步给业务评估处理,再次感谢。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无