被曝浏览器存漏洞 搜狗反驳称系人为恶意操纵
今日,搜狗发明正式声明反驳称,目前并无法证实此漏洞,并指责此“爆料”存在明显的人为操纵痕迹,涉嫌不正当竞争。【IT商业新闻网讯】(记者 李琳)近日,一位名为“漏洞猎手”的人在在国外着名技术论坛Sysinternals上曝料称,搜狗浏览器存“缓冲区溢出漏洞”,若被黑客利用,可用它执行非授权指令,甚至可以取得系统特权,进行各种非法操作。今日,搜狗发明正式声明反驳称,目前并无法证实此漏洞,并指责此“爆料”存在明显的人为操纵痕迹,涉嫌不正当竞争。
据该论坛曝料称,该漏洞可绕过Win8安全系统,运行恶意代码,获取管理员权限,并实现了对用户电脑的控制。而至于漏洞存在原因,此人称,搜狗浏览器使用了过期的Google Chrome浏览器内核,长时间未更新让搜狗浏览器与Google官方脱节,而事实上,Google早已在新版本中的Chrome修复了此漏洞。同时,由 于搜狗浏览器没有开启DEP/ASLR、沙箱等重要防护功能,无法控制漏洞触发带来的安全风险。
据人民网报道,某门户网站的信息安全工程师潘先生、某软件公司WEB安全产品开发人员秦先生在分析诊搜狗浏览器时认为,搜狗浏览器基于谷歌的Chromium 6内核,目前,Chromium版本号到了14,大多数搜狗用户还在用着1年多以前的浏览器内核,这里面很多漏洞都已经在exploit-db、SecuniaSecurityFocus等等国际漏洞研究组织上公开了。从这个角度来说,搜狗浏览器的安全性还不如打好补丁的IE6。
今日,搜狗发表正式声明表示,已于11月29日将搜狗浏览器升级为3.1版本,该版本采用了新版Chromium 14.0内核,以提升安全等级。并解释称,软件是不可避免有漏洞的,处于不断修补和升级的过程是软件行业的常态。
同时,搜狗对此消息的源头始作俑者的意图及身份表示质疑,认为此手法系人为操纵痕迹,完全符合之前国内某些互联网公司不正当竞争中的恶劣手法。
搜狗官方分析了来自Sysinternals的国外技术论坛的发贴人,论坛账号“huntvulnerable” 于11月13日注册,第二天就急切“爆料”。认为一个技术人员专程到国外小网站上去指名道姓讨论中国浏览器实属罕见。按照常理,如果他是外国人,更可能关注拥有同样内核和潜在漏洞的谷歌浏览器;如果他是中国人,也没有必要临时注册账号发到国外论坛再让媒体“出口转内销”,并拒不接受搜狗主动询问。
对于搜狗被曝漏洞一事,国内的一些安全厂商也纷纷表示关注,卡巴斯基称,从未表示过搜狗浏览器存在高危漏洞,之前来自网络的消息,并未得到卡巴斯基实验室的证实。360安全卫士表示,我们一直关注网曝搜狗浏览器漏洞的新闻,按照360对木马攻防的流程,我们一旦确认黑客公布的搜狗浏览器漏洞细节信息,会第一时间给搜狗建议和为网民提供防护措施。建议搜狗尽快把使用Chrome 6的内核程序升级到新版本,以防万一,毕竟和新版本比较,Chromium社区已修复并开源的安全补丁就有200多个。 管他纳闷多干什么
页:
[1]