日前，Nuclear'Atk網絡安全研究中心在其官網發佈消息，稱騰訊TM、QQ産品存在遠程命令執行漏洞。黑客利用該漏洞可直接通過QQ消息發送窗口，執行本地文件、命令，例如讓聊天好友電腦關機、卸載某款軟體，甚至格式化硬盤。

圖：QQ聊天消息可執行命令

　　經測試，當黑客在QQ及TM窗口中發送特定格式的網址時，由於騰訊這兩款IM軟體存在該漏洞，導致受害用戶點擊鏈結網址之後會被當成路徑打開，從而可以惡意執行一些程序、系統命令，造成嚴重安全隱患。

　　據爆料者分析，造成該漏洞的原因或為騰訊調用的API：ShellExecute。它的功能是打開exe文件、路徑，或者調用與之關聯的程序（例如：圖片、音樂、網址等），但在沒有明確指定是文件還是網址的情況下，Windows 會優先調用可執行exe文件，從而導致用戶以為自己點開的是網址，但實際上系統卻優先執行的是代碼指令。

　　實際上，這並非QQ第一次爆出此類漏洞。3月21日，國內知名第三方漏洞平臺“烏雲”，就曝光了騰訊 QQ、TM 産品存在“遠程讀取內存數據漏洞、可導致遠程溢出、拒絕服務攻擊”漏洞。與之前漏洞相比，此次儘管QQ漏洞威脅程度略低，卻也足以成為惡作劇者的利器了。

　　截至發稿時，騰訊官方已回應正在跟進該問題。在漏洞得到修復前，建議QQ用戶切莫點擊畸形網址，以免造成系統損壞。