QQ爆信息泄露漏洞 或危及微信支付安全

手握6亿用户的微信,上个月刚刚被支付宝方面抨击“不安全”,昨日就被曝出存在">安全隐患。

昨日国内安全问题反馈平台WooYun(乌云)发布信息称,腾讯QQ可泄露用户私密聊天内容中的隐私URL,由于微信与QQ使用同一账户体系,或因此漏洞危及微信信息安全,波及微信支付安全。

WooYun称,上述漏洞类型属于敏感信息泄露,危害等级高。

WooYun描述,用户在QQ聊天中发送的包含url地址的信息,均会被腾讯搜搜抓取,在搜搜中输入“intitle:订单详情site:tenpay.com”指令,更能够看到大量未加密的财付通用户的订单信息。WooYun方面更用“惨不忍睹”描述这一漏洞。

由于微信与QQ使用同一套账户体系,这一漏洞或将危及微信信息安全。此外,由于微信支付由财付通提供技术支持,这一漏洞也有可能导致微信支付用户的交易信息被曝光,更有可能导致微信支付被黑客盗取。

目前,WooYun已将这些问题通知厂商,腾讯方面回应称该问题已经确认,正在与业务部门进行沟通制定解决方案,目前仍未处于修复状态。

WooYun漏洞地址:http://www.wooyun.org/bugs/wooyun-2013-038426

时间: 2024-10-23 23:20:31

QQ爆信息泄露漏洞 或危及微信支付安全的相关文章

QQ遭爆信息泄露漏洞 危及用户微信支付安全

手握6亿用户的微信,上个月刚刚被支付宝方面抨击"不安全",昨日就被曝出存在安全隐患. 昨日国内安全问题反馈平台WooYun(乌云)发布信息称,腾讯QQ可泄露用户私密聊天内容中的隐私URL,由于微信与QQ使用同一账户体系,或因此漏洞危及微信信息安全,波及微信支付安全. WooYun称,上述漏洞类型属于敏感信息泄露,危害等级高. WooYun描述,用户在QQ聊天中发送的包含url地址的信息,均会被腾讯搜搜抓取,在搜搜中输入"intitle:订单详情site:tenpay.com&

IE OuterHTML重新定向信息泄露漏洞

受影响系统:  Microsoft Internet Explorer 6.0  描述:  BUGTRAQ ID: 18682  Internet Explorer是微软发布的非常流行的WEB浏览器.  Internet Explorer在处理网页中的OuterHTML对象时存在漏洞,可能导致敏感信息泄露.  <*来源:Plebo Aesdi Nael (plebo@gmx.net) 链接:http://lists.grok.org.uk/pipermail/full-disclosure/at

Trihedral监控系统VTScada软件出现DoS及信息泄露漏洞 美ICS-CERT即将公告这些信息

Trihedral为VTScada产品发布了一个更新,修复多个漏洞,包括甚至可被技术拙劣的黑客利用的高危漏洞.这些漏洞信息ICS-CERT还未公布,安全加曾经报道过 暗网发现漏洞7天后 美国家漏洞库NVD才收录漏洞信息 . 作为Trihedral的旗舰产品,VTScada是一款可为数据采集与监视控制系统提供人机交互界面(HMI)的软件套件.该产品应用于各个行业,主要在北美和欧洲. 安全研究人员Karn Ganeshen发现了影响VTScada 11.2.26之前版本的多个漏洞.Ganeshen告

求助,Apache Tomcat Transfer-Encoding头处理拒绝服务和信息泄露漏洞

问题描述 大家好,这个漏洞不知道应该怎么升级,服务器Tomcat版本是5.5.26,要升级到5.5.30的版本,安全补丁里面的文件不知道该怎么用,麻烦大家帮忙看一下,先谢谢各位了.安全补丁:http://svn.apache.org/viewvc?view=revision&revision=959428漏洞信息:http://www.cnvd.org.cn/vulnerability/CNVD-2010-01347漏洞详细信息CNVD漏洞编号CNVD-2010-01347漏洞标题ApacheT

Apache Hadoop爆信息泄漏漏洞

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp; Hadoop大潮正在逐渐席卷所有美国的垂直行业,包括金融.传媒.零售.能源.以及制药等.Hadoop在树立大数据概念的同时,还对海量数据进行实时分析,并从分析得出的数据发现趋势,以提高企业赢利的能力. Apache Hadoop作为开源数据管理软件主要用来在分布式环境中的分析大量的结构化和非结构化数据.Hadoop已被用在包括Yahoo,Facebook,Linke

源头防堵信息泄露 监管拟全面推行&quot;支付标记化&quot;

支付信息泄露.银行卡遭复制盗刷怎么办?正是这类事故的频频出现,使人们不得不苦苦寻求那些流传于民间的"防盗刷"小技巧.不过,一项名为"支付标记化"的新技术或许将能从源头上堵住信息泄露的"口子". "各商业银行.第三方支付公司今年年底要使用支付标记化技术进行交易数据处理."近日,一位银行内部人士向<每日经济新闻>记者证实,该行已收到了央行近期发布的<关于加强银行卡风险管理的通知>(以下简称<通知>

招行一月两曝信息泄露漏洞 每年IT投入50亿花哪了

今年端午节前夕,招商银行被曝网银出现严重漏洞,个人信息可被修改.有网友指出,当他登录招商银行专业版网银,进入了修改联系信息页面,弹出了"系统LU层异常"的对话框,同时,页面显示了他人的所有详细信息,包括"性别.电子邮箱.常住地址.单位名称.单位地址.单位邮编.单位电话,和部分打了码的银行预留手机号". 5月27日,招商银行官方微博回应称,"尊敬的客户:5月26日晚,我行服务器出现短暂通讯异常,导致少量客户在网上银行专业版查询其个人信息时,系统偶发性显示了服

12306或因版本兼容问题再爆用户信息泄露漏洞

12月28日消息,在经历了早上宕机1小时之后,12306铁路客户服务中心网站再次爆发用户账号串号的问题,大量用户身份证等信息遭泄露. 今天是2014年铁路春运售票第一天.下午15时左右,开始有网友在微博上反映,登陆自己帐号后可以看到他人的姓名.身份证号码.手机号码等信息. 下午17时34分,国内安全问题反馈平台WooYun(乌云)发布信息称,新版12306网站出现用户资料大量泄露的漏洞,并表明危害等级为高. 乌云信息显示,这一漏洞已通知12306,且处于等待处理状态. 不过,腾讯科技曾尝试致电1

Apache Tomcat 信息泄露漏洞(CVE-2016-8747)

重要程度:中等 受影响的版本: Apache Tomcat 9.0.0.m11 到 9.0.0.m15 Apache Tomcat 8.5.7 到 8.5.9 描述: 为更广泛地使用 ByteBuffer,在重构时引入了一种回归,可能会导致信息在同一连接上的请求之间泄漏. 当在逆向代理之后运行时,可能会导致用户之间的信息泄漏. 所有的 HTTP HTTP connector variants 都会受到影响,HTTP / 2 和 AJP 不受影响. 解决方案: 受影响的用户应: 升级到 Apach