QQ是由Tencent公司开发的一个IM软件，在中国有着非常广泛的用户。DSW Avert在200612.31发现了QQ的几个0day漏洞，并通知了QQ官方。QQ在2007.1.1进行了升级。事实上，在此之前，幻影旅团 (ph4nt0m)的axis就已经发现了这些漏洞，出于一些原因未曾公布，现在漏洞被公开了，所以将细节和可利用的POC公布如下：
QQ的这几个漏洞，均是由于Activex Control造成的，相关dll分别是：VQQPLAYER.OCX,VQQsdl.dll,V2MailActiveX.ocx

其中有一个成功利用后，将可远程控制用户电脑，因为是activex的，所以只需要用户安装过QQ，甚至不需要其登录，就可以成功利用。

另外几个漏洞分别是拒绝服务漏洞，不可执行,在此不再赘述。

影响版本:

Tencent QQ2006正式版及之前所有版本。（未升级2007.1.1补丁）

：解决方案：

1、厂商补丁：

目前厂商已经在2007.1.1日发布了升级补丁，请用户自行升级QQ：

http://security.qq.com/affiche/2006/20061231.shtml

2、临时解决方案：

①禁止IE执行ActiveX 控件
②删除VQQPlayer.ocx注册的注册表键：

HKEY_CLASSES_ROOT\QQPLAYER.QQPlayerCtrl