搜狗0day漏洞已上报国家漏洞库 建议用户尽快升级
来源:中国电子政务网 更新时间:2012-04-14
     近日,搜狗浏览器“漏洞门”事件又有最新进展,在包括趋势科技、G Data、麦克沃德等多家安全厂商专门针对搜狗漏洞发出警报后,12月6日,国内最大的互联网安全机构360也对搜狗浏览器3.1以下版本存在的0ady漏洞发布安全播报,同时鉴于漏洞的严重性,360表示已经告知搜狗公司并上报国家漏洞库。
     此前,有WEB安全工程师秦先生表示,搜狗浏览器还在使用1年多以前的Chrome浏览器内核,其中大量漏洞已经被外界公开,如果搜狗迟迟不升级内核,安全性还不如打好补丁的IE6。他表示:“此前熊猫烧香、机器狗等恶性木马都曾利用IE6浏览器漏洞感染系统,搜狗浏览器比IE6安全性更差,同样防不住机器狗。
    360安全中心工程师的分析也证明了这一点:“搜狗浏览器漏洞是一个威胁程度较高的‘数据溢出漏洞’,由于搜狗浏览器使用了老版本Chromium浏览器内核,同时却没有开启沙箱、DEP(数据执行保护)、ASLR(地址随机化保护)等安全防护措施,导致其相比其它Chromium内核浏览器更易被黑客攻破。”
 
 
   据了解,沙箱相当于浏览器保镖,能封锁恶意代码;DEP相当于“软猬甲”,能护住要害;ASLR相当于“凌波微步”,可以让敌人难以抓住自己。搜狗将这些功能砍掉,无异于使搜狗用户电脑对木马敞开大门。
   “搜狗浏览器没有DEP、没有ASLR,更没有沙箱,公开的漏洞倒是有很多。如果被黑客发现你在用搜狗浏览器,从网上拷贝一段攻击代码就可以给你电脑中木马。至于你还敢不敢用,反正我是不敢。”有微博网友这样评论。
   如网友所说,目前该漏洞攻击代码已经被公开,随时有可能被黑客大规模利用,大多数未升级到最新版本的搜狗浏览器用户依然面临威胁。对此,360启动“紧急漏洞预警机制”,已经及时通知搜狗公司并上报国家漏洞库。同时,由于目前该漏洞暂时没有补丁可以修复,所以专家建议用户升级或更换其它浏览器,确保上网安全。