来源： [WIN哥学安全](javascript:void(0);)

漏洞简介

​    2023年8月20日，赛博昆仑捕获到利用QQ桌面客户端远程执行的漏洞，该漏洞为逻辑漏洞，攻击者可以利用该漏洞在QQ客户端上进行无需用户确认文件下载执行为，当用户点击消息链接时，QQ客户端会自动下载并打开文件，最终实现远程代码执行的目的。建议谨慎点击任何消息链接。



影响版本

```
QQ Windows版9.7.13及以前版本
```


漏洞复现

A发送恶意文件给A。

![image-20230822091243864](./QQ桌面客户端远程执行.assets/image-20230822091243864.png)

A在手机上回复此恶意文件

![image-20230822091253944](./QQ桌面客户端远程执行.assets/image-20230822091253944.png)

A在电脑上将此回复转发给B

B点击直接上线。

![image-20230822091305578](./QQ桌面客户端远程执行.assets/image-20230822091305578.png)