警惕 QQ 图片中马导致的隐私泄露和网络诈骗

背景

今天白天和昨晚上很多人还在因为自己的 QQ 莫名其妙发送黄色图片或者网址到各个好友各个群而苦恼的时候，今天在 0day.today 站点上发现了关于 JPG图片包含 PE 文件可以在打开图片的时候直接执行此 PE 文件，我简称为 JPG RCE，此站点我在19年的时候有过介绍：0day.today「一个0day漏洞交易市场」

正文

此漏洞在钓鱼领域堪比永恒之蓝漏洞的威力！（如果是真的话）在今天腾讯发布昨晚事件的申明之后，这个漏洞就被人翻出来了，而且有人上传了微步沙箱（不一定是这个漏洞）。

如果此漏洞为真，在 QQ PC 端配合 QQ 的强制加好友或者开启了陌生人聊天的权限，直接给你发张图片，你就被种马了！想想就恐怖有没有！

目前看来是只影响 Windows 系统的 QQ PC版本，还请大家注意，这段时间最好不要使用 Windows 版 PC QQ，如果有必要谨慎对待陌生人的消息和邮件，同时本机开启杀毒软件，因为此漏洞可以无视邮件网关的安全检查，目前看微步沙箱的在线杀毒也是全部免杀的！

相关延时视频如下：

相关链接如下：
https://finance.sina.com.cn/tech/2022-06-27/doc-imizmscu8942281.shtml
https://s.threatbook.cn/report/file/b495c8dfbd75803897927660c4aa29cddfc64a1a7d525066536e4661767b5993
https://en.0day.today/exploit/description/34352
https://www.veed.io/view/f8845136-dded-4781-8b64-3d4b8df78b81