今天上午，乌云漏洞平台发布一项腾讯QQ的新漏洞——QQ群持久XSS攻击。据了解，攻击者只需向群内发送一个特定合法的URL，即可在所有群用户查看群消息时触发恶意Javascript代码（可执行js窃取cookie挂马），从而达到盗取个人信息的目的。

该漏洞属于XSS(cross site scrip)跨站脚本攻击，主要通过QQ群来传播。用户点击攻击者发送的URL后，会被强制执行嵌入的Javascript代码，从而被窃取浏览网页的cookie信息。

乌云漏洞收到漏洞报告后，已经将细节通知厂商并等待厂商处理。

中午11点，已经确认腾讯对漏洞紧急修复完毕，现在可以放心的看群消息了。

另外提醒用户，QQ群中不明来源未经安全认证的链接尽量不要点击。