腾讯QQ/TIM本地特权提升漏洞CVE-2023-34312
日期:2023-07-03 10:38:43 发布人:信息化建设中心 浏览量:704
漏洞概要
|
漏洞名称 |
腾讯QQ/TIM本地特权提升漏洞(CVE-2023-34312) |
|
发布时间 |
2023年6月29日 |
|
组件名称 |
腾讯QQ/TIM |
|
影响范围 |
9.7.1.28940≤QQ≤9.7.8.29039, 3.4.5.22071≤TIM≤3.4.7.22084 |
|
漏洞类型 |
权限提升 |
|
利用条件 |
1、用户认证:低权限 2、前置条件:默认配置 3、触发方式:本地 |
|
综合评价 |
<综合评定利用难度>:未知。 <综合评定威胁等级>:高危,能造成权限提升。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
腾讯QQ/TIM是一款即时通讯软件,可以通过它进行文字、语音、视频聊天,发送文件、图片、表情等。除了基本的聊天功能外,QQ/TIM还提供了许多其他功能,如QQ邮箱、QQ音乐等。
漏洞描述
该漏洞是由于QQProtect.exe组件及其依赖的DLL QQProtectEngine.dll等存在任意地址写入漏洞,攻击者可在低权限的情况下,利用该漏洞构造恶意数据,执行任意地址写入攻击,最终获取系统最高权限。
影响范围
目前受影响的QQ/TIM版本:
9.7.1.28940≤QQ≤9.7.8.29039,
3.4.5.22071≤TIM≤3.4.7.22084
解决方案
修复建议
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。