央视网|中国网络电视台|网站地图
客服设为首页
登录

中国网络电视台 > 经济台 > 财经资讯 >

搜狗0day漏洞已上报国家漏洞库 建议用户尽快升级

发布时间:2011年12月07日 12:33 | 进入复兴论坛 | 来源:千龙网 | 手机看视频


评分
意见反馈 意见反馈 顶 踩 收藏 收藏
channelId 1 1 1

  近日,搜狗浏览器“漏洞门”事件又有最新进展,在包括趋势科技、G Data、麦克沃德等多家安全厂商专门针对搜狗漏洞发出警报后,12月6日,国内最大的互联网安全机构360也对搜狗浏览器3.1以下版本存在的0ady漏洞发布安全播报,同时鉴于漏洞的严重性,360表示已经告知搜狗公司并上报国家漏洞库。

  此前,有WEB安全工程师秦先生表示,搜狗浏览器还在使用1年多以前的Chrome浏览器内核,其中大量漏洞已经被外界公开,如果搜狗迟迟不升级内核,安全性还不如打好补丁的IE6。他表示:“此前熊猫烧香、机器狗等恶性木马都曾利用IE6浏览器漏洞感染系统,搜狗浏览器比IE6安全性更差,同样防不住机器狗。”

  360安全中心工程师的分析也证明了这一点:“搜狗浏览器漏洞是一个威胁程度较高的‘数据溢出漏洞’,由于搜狗浏览器使用了老版本Chromium浏览器内核,同时却没有开启沙箱、DEP(数据执行保护)、ASLR(地址随机化保护)等安全防护措施,导致其相比其它Chromium内核浏览器更易被黑客攻破。”

图:多家国际安全厂商发布搜狗浏览器漏洞警报

  据了解,沙箱相当于浏览器保镖,能封锁恶意代码;DEP相当于“软猬甲”,能护住要害;ASLR相当于“凌波微步”,可以让敌人难以抓住自己。搜狗将这些功能砍掉,无异于使搜狗用户电脑对木马敞开大门。

  “搜狗浏览器没有DEP、没有ASLR,更没有沙箱,公开的漏洞倒是有很多。如果被黑客发现你在用搜狗浏览器,从网上拷贝一段攻击代码就可以给你电脑中木马。至于你还敢不敢用,反正我是不敢。”有微博网友这样评论。

  如网友所说,目前该漏洞攻击代码已经被公开,随时有可能被黑客大规模利用,大多数未升级到最新版本的搜狗浏览器用户依然面临威胁。对此,360启动“紧急漏洞预警机制”,已经及时通知搜狗公司并上报国家漏洞库。同时,由于目前该漏洞暂时没有补丁可以修复,所以专家建议用户升级或更换其它浏览器,确保上网安全。

热词:

  • 搜狗
  • 浏览器
  • Chrome
  • 建议用户
  • 漏洞攻击
  • 内核
  • 凌波微步
  • 漏洞门
  • 沙箱
  • DEP
  •