該漏洞將影響所有QQ彩鉆、騰訊拍拍以及接入財付通支付平臺的購物與充值網站的用戶。目前，360已將該漏洞細節提交給國家漏洞庫和騰訊公司，同時360安全衛士和360殺毒進行了緊急升級，能夠防御并查殺“財付通木馬”。

北京時間7月7日，360安全中心發布重大安全警報稱，騰訊公司旗下財付通支付產品出現高危漏洞，導致其數字簽名證書被黑客利用制作木馬病毒，而絕大多數殺毒軟件無法防范。該漏洞將影響所有QQ彩鉆、騰訊拍拍以及接入財付通支付平臺的購物與充值網站的用戶。目前，360已將該漏洞細節提交給國家漏洞庫和騰訊公司，同時360安全衛士和360殺毒進行了緊急升級，能夠防御并查殺“財付通木馬”。

360安全專家介紹說，數字簽名相當于一個程序的“身份證”，具備有效數字簽名的程序通常被視為合法程序。而騰訊財付通漏洞是由于其數字簽名證書缺乏必要的安全機制，任何人使用手機就可以申請到；同時，該證書也沒有控制使用權限，可以為任意程序提供數字簽名。這意味著，黑客可以毫無顧忌地用財付通數字簽名制作木馬，因為除360安全衛士外，其它殺毒軟件目前尚無法有效攔截和查殺。

據驗證，財付通數字簽名在裝有財付通根證書的電腦上會自動生效（使用財付通且安裝了Tenpay.com Root CA）。因此，該漏洞主要威脅QQ彩鉆付費用戶、騰訊拍拍用戶，以及其它接入財付通支付平臺的購物和充值網站用戶，用戶量保守估計也在千萬級水平。

360安全中心監測發現，網上已經出現了帶有騰訊財付通數字簽名的木馬，感染量約為1.2萬臺電腦。從數字簽名的時間戳判斷，該木馬最早出現在7月3日中午，是一款能夠聯網下載大量木馬病毒的下載器，最明顯的中招現象是瀏覽器

　　推薦閱讀

　　求伯君：管理不是強項 只想做快樂的股東

“一方面我快50歲了，早該到了退休的年紀�！鼻蟛�君說他從20歲開始工作，到現在已經30年了�！傲硗庖环矫�，我的精神壓力很大，從早期的程序員開始，我的工作就是寫程序，管理不是我的擅長，反而時我的弱項�！� 7月7日>>>詳細閱讀

本文標題：騰訊財付通漏洞遭黑客利用 威脅QQ彩鉆等付費用戶

地址：http://m.sdlzkt.com/a/01/20111230/208957.html

 1/2    1  2 下一頁