当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043240

漏洞标题:QQ消息管理器存在设计缺陷(多版本bug)

相关厂商:腾讯

漏洞作者: 花生^_^

提交时间:2013-11-18 14:37

修复时间:2014-02-13 14:38

公开时间:2014-02-13 14:38

漏洞类型:设计错误/逻辑缺陷

危害等级:低

自评Rank:1

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-18: 细节已通知厂商并且等待厂商处理中
2013-11-20: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-01-14: 细节向核心白帽子及相关领域专家公开
2014-01-24: 细节向普通白帽子公开
2014-02-03: 细节向实习白帽子公开
2014-02-13: 细节向公众公开

简要描述:

QQ消息管理器存在设计缺陷

详细说明:

上一次提交这个漏洞没有通过审核,我这次写详细些。
我专门在网上把腾讯QQ的历史版本都找出来了,好辛苦。发现这个问题存在已经有整整一年了啊!【从2012年11月发布的QQ2013 Beta1到现在的最新的QQ2013SP4】我觉得这不能说影响不大。
为了说明问题,我在计算机上安装了冰点还原精灵(Deep Freeze)7.51,每次重启计算机后测试一个QQ版本。
测试版本:QQ2012 正式版

QQ2012.png


由于QQ2012的消息管理器在删除消息记录时没有【一段时间】这个选项,所以不存在问题。
测试版本:QQ2013 Beta1(5459)【2012年11月发布的版本】
如图,打开消息管理器,在某个分组上点右键,选删除消息记录

QQ截图20131118125409.png


在新窗口再选 只删除【一段时间】的消息记录,然后在下方的日历中选时间段。

QQ2013(5459).PNG


问题出来了:开始时间任意选(只要比截止时间早就行),截止时间选择 1/3/5/7/8/10/12月 的 31日 时,就会出现【所选时间段有误,请重新选择】的删除提示!图中测试的是10月31日

QQ2013(5459)01.PNG


因此用户无法删除指定时间段的消息记录。
在腾讯QQ2013的接下来的一系列版本中一直存在这个大小月的问题,我截取一些例子
测试版本:QQ2013SP2【‎2013‎年‎9‎月‎13‎日】更新的

QQ2013sp2.PNG


出现【所选时间段有误,请重新选择】的删除提示!

QQ2013sp2-1.PNG


测试版本:QQ2013SP4【‎2013‎年‎11‎月‎5‎日】更新的,目前最新版。

QQ2013sp4.png


出现【所选时间段有误,请重新选择】的删除提示!

QQ2013sp4-1.png


由此观之,QQ消息管理器这个大小月的问题在QQ2013的版本中一直存在,而且这么长的时间依然没有修复。或许没有多少用户发现这问题,但希望这次提交的漏洞能够通过审核,提醒腾讯在新版本中修复这个小细节,毕竟细节决定成败!!

漏洞证明:

如图,在QQ2013中,问题一直存在:

QQ2013(5459)01.PNG


QQ2013sp2-1.PNG


QQ2013sp4-1.png

修复方案:

其实这个大小月的细节很好修复,只是设计缺陷,你懂的。

版权声明:转载请注明来源 花生^_^@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-02-13 14:38

厂商回复:

非常感谢您的报告,该问题属于bug,并不属于安全问题,我们会同步给业务评估处理,再次感谢。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-11-19 23:45 | 花生^_^ ( 路人 | Rank:0 漏洞数:1 | 加强学习~~)

    等待结果^_^

  2. 2013-11-20 19:06 | 花生^_^ ( 路人 | Rank:0 漏洞数:1 | 加强学习~~)

    @猪猪侠 请教一下,是不是属于bug,并不属于安全问题就可以忽略?

  3. 2013-11-21 01:37 | Ebon_Wolf ( 实习白帽子 | Rank:48 漏洞数:24 | 您好,我似咣咚朲,需要服务吗?专业酱油工...)

    很犀利的回复