近日，有安全自媒體報(bào)道稱Windows QQ 桌面客戶端出現(xiàn)安全漏洞，當(dāng)用戶在 QQ里點(diǎn)擊消息鏈接時，QQ 會自動下載并打開惡意文件。目前，在官網(wǎng)發(fā)布的Windows 版 QQ 9.7.15及之后的版本中，該問題已不可復(fù)現(xiàn)。另據(jù)報(bào)道，QQ NT 新版本沒有受到該問題的影響。

據(jù)知情人士透露，事件起因是某網(wǎng)絡(luò)安全公司的一則通知，提醒使用QQ windows版9.7.13及之前版本的客戶，在廠商發(fā)布補(bǔ)丁前要謹(jǐn)慎點(diǎn)擊消息鏈接。該通知隨后被轉(zhuǎn)發(fā)并引起了一些安全自媒體的關(guān)注及報(bào)道，甚至有人稱其為“高危漏洞”。

小編此前也測試了這個“漏洞”，發(fā)現(xiàn)在QQ windows版9.7.13及之前版本里，當(dāng)用戶點(diǎn)擊消息鏈接中的文件時，QQ 客戶端會自動下載并打開該文件。如果有攻擊者利用這個體驗(yàn)，制作惡意軟件并構(gòu)造一個消息鏈接誘導(dǎo)用戶點(diǎn)擊，用戶將在無感知的情況下被安裝木馬。

實(shí)際上，在不少業(yè)內(nèi)專業(yè)人士看來，這算不上“漏洞”，更像是一個體驗(yàn)邏輯上的問題。點(diǎn)擊打開回復(fù)內(nèi)容應(yīng)該是 QQ 本身的設(shè)計(jì)，旨在提升用戶體驗(yàn)，特別是考慮到每天都有大量用戶使用QQ來發(fā)送文件。而在QQ里傳輸?shù)奈募?，如果是惡意的，發(fā)送過程中應(yīng)會被技術(shù)檢測出來并被打擊。但不可否認(rèn)，這樣的體驗(yàn)在安全場景下存在一定的隱患，可能被不法分子惡意利用，提升釣魚成功的幾率。

但是，無論是否存在這個問題，用戶在遭遇釣魚攻擊時都有可能上當(dāng)受騙，而這個問題可能會導(dǎo)致用戶更容易被釣魚。不過，QQ在問題被發(fā)現(xiàn)的當(dāng)天下午就發(fā)布了更新版，迅速優(yōu)化了這個體驗(yàn)問題。

對于廣大用戶而言，也可以提高自己的安全意識。不要隨意點(diǎn)擊他人發(fā)送的各種消息鏈接，不要隨意打開他人發(fā)來的文件，打開文件前一定要確認(rèn)發(fā)送者的身份真實(shí)性，并且注意及時更新QQ版本，以防止不法分子利用歷史問題實(shí)施攻擊。