Sysinternals論壇 漏洞獵手 搜狗漏洞

2012/2/1 8:34:30  出處：本站   人氣：101次    字號：小  中  大

國外技術網站Sysinternals論壇，ID為“漏洞獵手”的黑客放出了對搜狗瀏覽器漏洞的攻擊代碼，可直接通過互聯網網頁對用戶掛馬，所有搜狗瀏覽器3.0X及以下版本用戶都在攻擊范圍之內，涉及用戶高達千萬。

Sysinternals“漏洞獵手”早在半個月前已宣稱發現搜狗瀏覽器漏洞，最近又相繼公布漏洞演示視頻和攻擊代碼。事件發生后，360安全中心一直嚴密關注該漏洞信息，經對公布的攻擊代碼進行技術驗證，發現搜狗瀏覽器確實可被黑客利用掛馬。

360安全中心工程師分析發現，搜狗瀏覽器漏洞是一個威脅程度較高的“數據溢出漏洞”，由于搜狗瀏覽器使用了老版本Chromium瀏覽器內核，同時卻沒有開啟沙箱、DEP（數據執行保護）、ASLR（地址隨機化保護）等安全防護措施，導致其相比其它Chromium內核瀏覽器更易被黑客攻破。

經技術人員測試，根據公布的攻擊代碼，黑客可以通過搜狗瀏覽器控制包括WindowsXP、Vista、Windows7及Windows8系統在內的幾乎所有Windows操作系統。因此，360安全中心將該漏洞定義為高危漏洞，該漏洞一旦被黑客利用，可以利用它執行非授權指令，甚至可以取得系統特權，進行各種非法操作。

由于該漏洞攻擊代碼已被公開，隨時有可能被黑客大規模利用。因此，360啟動“緊急漏洞預警機制”，已經及時通知搜狗公司并上報國家漏洞庫。由于目前該漏洞暫時沒有補丁可以修復，建議搜狗瀏覽器用戶盡快升級到最新版本，以保護上網安全。

附：搜狗瀏覽器漏洞分析

漏洞名稱：數據溢出導致遠程代碼執行

漏洞版本：搜狗瀏覽器3.1以下版本（版本號<3.1）

影響平臺：Windows XP/Vista/Win7/Win8全系列操作系統

漏洞原因：搜狗瀏覽器基于GoogleChromium瀏覽器內核，其3.1以下版本使用過期Chromium內核，導致Webkit里處理EventSource網頁元素的代碼endRequest()時，沒有正確處理可能的畸形參數。如果用戶訪問了黑客構造的惡意網頁，攻擊代碼可能觸發內存破壞，從而執行任意指令，例如自動下載運行黑客指定的木馬病毒。

由于搜狗瀏覽器缺乏安全防護機制，導致其漏洞更容易被黑客利用。例如，搜狗瀏覽器并沒有集成沙箱，無法隔離惡意代碼；沒有啟用DEP（數據執行保護），無法保護程序的關鍵內存區域；也沒有啟用ASLR（地址隨機化保護），無法阻止惡意代碼使用系統模塊的函數。