近日，有安全自媒體報道稱Windows QQ 桌面客戶端出現(xiàn)安全漏洞，當用戶在 QQ里點擊消息鏈接時，QQ 會自動下載并打開惡意文件。目前，在官網(wǎng)發(fā)布的Windows 版 QQ 9.7.15及之后的版本中，該問題已不可復現(xiàn)。另據(jù)報道，QQ NT 新版本沒有受到該問題的影響。

　　據(jù)知情人士透露，事件起因是某網(wǎng)絡安全公司的一則通知，提醒使用QQ windows版9.7.13及之前版本的客戶，在廠商發(fā)布補丁前要謹慎點擊消息鏈接。該通知隨后被轉發(fā)并引起了一些安全自媒體的關注及報道，甚至有人稱其為“高危漏洞”。

　　小編此前也測試了這個“漏洞”，發(fā)現(xiàn)在QQ windows版9.7.13及之前版本里，當用戶點擊消息鏈接中的文件時，QQ 客戶端會自動下載并打開該文件。如果有攻擊者利用這個體驗，制作惡意軟件并構造一個消息鏈接誘導用戶點擊，用戶將在無感知的情況下被安裝木馬。

　　實際上，在不少業(yè)內(nèi)專業(yè)人士看來，這算不上“漏洞”，更像是一個體驗邏輯上的問題。點擊打開回復內(nèi)容應該是 QQ 本身的設計，旨在提升用戶體驗，特別是考慮到每天都有大量用戶使用QQ來發(fā)送文件。而在QQ里傳輸?shù)奈募?，如果是惡意的，發(fā)送過程中應會被技術檢測出來并被打擊。但不可否認，這樣的體驗在安全場景下存在一定的隱患，可能被不法分子惡意利用，提升釣魚成功的幾率。

　　但是，無論是否存在這個問題，用戶在遭遇釣魚攻擊時都有可能上當受騙，而這個問題可能會導致用戶更容易被釣魚。不過，QQ在問題被發(fā)現(xiàn)的當天下午就發(fā)布了更新版，迅速優(yōu)化了這個體驗問題。

　　對于廣大用戶而言，也可以提高自己的安全意識。不要隨意點擊他人發(fā)送的各種消息鏈接，不要隨意打開他人發(fā)來的文件，打開文件前一定要確認發(fā)送者的身份真實性，并且注意及時更新QQ版本，以防止不法分子利用歷史問題實施攻擊。