【IT商業新聞網訊】(記者 李琳)近日,一位名為“漏洞獵手”的人在在國外著名技術論壇Sysinternals上曝料稱,搜狗瀏覽器存“緩沖區溢出漏洞”,若被黑客利用,可用它執行非授權指令,甚至可以取得系統特權,進行各種非法操作。今日,搜狗發明正式聲明反駁稱,目前并無法證實此漏洞,并指責此“爆料”存在明顯的人為操縱痕跡,涉嫌不正當競爭。
據該論壇曝料稱,該漏洞可繞過Win8安全系統,運行惡意代碼,獲取管理員權限,并實現了對用戶電腦的控制。而至于漏洞存在原因,此人稱,搜狗瀏覽器使用了過期的Google Chrome瀏覽器內核,長時間未更新讓搜狗瀏覽器與Google官方脫節,而事實上,Google早已在新版本中的Chrome修復了此漏洞。同時,由 于搜狗瀏覽器沒有開啟DEP/ASLR、沙箱等重要防護功能,無法控制漏洞觸發帶來的安全風險。
據人民網報道,某門戶網站的信息安全工程師潘先生、某軟件公司WEB安全產品開發人員秦先生在分析診搜狗瀏覽器時認為,搜狗瀏覽器基于谷歌的Chromium 6內核,目前,Chromium版本號到了14,大多數搜狗用戶還在用著1年多以前的瀏覽器內核,這里面很多漏洞都已經在exploit-db、SecuniaSecurityFocus等等國際漏洞研究組織上公開了。從這個角度來說,搜狗瀏覽器的安全性還不如打好補丁的IE6。
今日,搜狗發表正式聲明表示,已于11月29日將搜狗瀏覽器升級為3.1版本,該版本采用了新版Chromium 14.0內核,以提升安全等級。并解釋稱,軟件是不可避免有漏洞的,處于不斷修補和升級的過程是軟件行業的常態。
同時,搜狗對此消息的源頭始作俑者的意圖及身份表示質疑,認為此手法系人為操縱痕跡,完全符合之前國內某些互聯網公司不正當競爭中的惡劣手法。
搜狗官方分析了來自Sysinternals的國外技術論壇的發貼人,論壇賬號“huntvulnerable” 于11月13日注冊,第二天就急切“爆料”。認為一個技術人員專程到國外小網站上去指名道姓討論中國瀏覽器實屬罕見。按照常理,如果他是外國人,更可能關注擁有同樣內核和潛在漏洞的谷歌瀏覽器;如果他是中國人,也沒有必要臨時注冊賬號發到國外論壇再讓媒體“出口轉內銷”,并拒不接受搜狗主動詢問。
對于搜狗被曝漏洞一事,國內的一些安全廠商也紛紛表示關注,卡巴斯基稱,從未表示過搜狗瀏覽器存在高危漏洞,之前來自網絡的消息,并未得到卡巴斯基實驗室的證實。360安全衛士表示,我們一直關注網曝搜狗瀏覽器漏洞的新聞,按照360對木馬攻防的流程,我們一旦確認黑客公布的搜狗瀏覽器漏洞細節信息,會第一時間給搜狗建議和為網民提供防護措施。建議搜狗盡快把使用Chrome 6的內核程序升級到新版本,以防萬一,畢竟和新版本比較,Chromium社區已修復并開源的安全補丁就有200多個。
推薦閱讀
曾經以“全場免運費”招牌招攬顧客的京東正選擇收回“免費午餐”。物流費用調整是電商眼下試圖擺脫模式虧損困境繼而轉型的一個縮影。 原題:物流重回收費時代京東商城篩選用戶 曾經以全場免運費招牌招攬顧客的京東正>>>詳細閱讀
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/173173.html
網友點評
精彩導讀
科技快報
品牌展示