近日，DSW Lab Avert小组发现一个高度危险的QQ漏洞被披露，名为Exploit.Win32.QQCom.a，如果被恶意利用，可以使得用户在浏览植入恶意代码的网页时，打开本地端口，远程植入木马到用户系统中。& i. w1 j9 |# x
　　黑客完全利用此漏洞可以远程控制用户电脑，进行文件拷贝、删除等恶意操作。
6 L# A4 e8 P1 X0 c. D　　经过与QQ安全小组联系得知，QQ公司已经于昨日升级，修补该漏洞。DSWLAB也及时升级了超级巡警最新特征库，请广大用户升级到最新库，监测利用该漏洞的木马，强烈建议广大用户及时升级QQ，抵御病毒入侵，预防此漏洞危害系统。
5 _# \* X1 a3 |0 V0 G5 ?; M0 g2 U* k　　腾讯QQ目前有着2亿的用户数量，使得该漏洞有着极大的攻击范围，有可能被利用来制造僵尸网络。QQ安全中心已经就此漏洞发布了一个补丁检查升级公告：http://security.qq.com/affiche/2006/20061231.shtml.

QQ发现多个远程漏洞 请及时更新

　　国内著名安全组织近日发布了多个QQ远程溢出执行漏洞，通过此漏洞可在对方计算机上执行任意程序，以达到完全控制对方计算机的目的。腾讯已发布了针对此漏洞的补丁。请各位网友立即升级到最新版本QQ，以避免此次安全危机。( {4 O) B1 V. R6 q, \4 P5 x
　　QQ是由Tencent公司开发的一个IM软件，在中国有着非常广泛的用户。DSW Avert在200612.31发现了QQ的几个0day漏洞，并通知了QQ官方。QQ在2007.1.1进行了升级。事实上，在此之前，幻影旅团 （ph4nt0m）的axis就已经发现了这些漏洞，出于一些原因未曾公布，现在漏洞被公开了，所以将细节和可利用的POC公布如下：QQ的这几个漏洞，均是由于Activex Control造成的，相关dll分别是：VQQPLAYER.OCX，VQQsdl.dll，V2MailActiveX.ocx
0 ^: P1 ~, g4 u* m" ?# d, s4 m　　其中有一个成功利用后，将可远程控制用户电脑，因为是activex的，所以只需要用户安装过QQ，甚至不需要其登录，就可以成功利用。
* p# A5 n0 ?1 [% \# j7 c　　另外几个漏洞分别是拒绝服务漏洞，不可执行，在此不再赘述。$ P+ |5 I& B* o& }7 S1 |
　　影响版本：Tencent QQ2006正式版及之前所有版本。（未升级2007.1.1补丁）& z$ w- h( h' F+ r
　　建议：禁止ie执行activex9 @7 ^1 p/ `  l0 A, `
　　厂商补丁：目前厂商已经在2007.1.1日发布了升级补丁，请用户自行升级QQ：http://www.qq.com