Sysinternals論壇 漏洞獵手 搜狗漏洞

國(guó)外技術(shù)網(wǎng)站Sysinternals論壇，ID為“漏洞獵手”的黑客放出了對(duì)搜狗瀏覽器漏洞的攻擊代碼，可直接通過互聯(lián)網(wǎng)網(wǎng)頁對(duì)用戶掛馬，所有搜狗瀏覽器3.0X及以下版本用戶都在攻擊范圍之內(nèi)，涉及用戶高達(dá)千萬。

Sysinternals“漏洞獵手”早在半個(gè)月前已宣稱發(fā)現(xiàn)搜狗瀏覽器漏洞，最近又相繼公布漏洞演示視頻和攻擊代碼。事件發(fā)生后，360安全中心一直嚴(yán)密關(guān)注該漏洞信息，經(jīng)對(duì)公布的攻擊代碼進(jìn)行技術(shù)驗(yàn)證，發(fā)現(xiàn)搜狗瀏覽器確實(shí)可被黑客利用掛馬。

360安全中心工程師分析發(fā)現(xiàn)，搜狗瀏覽器漏洞是一個(gè)威脅程度較高的“數(shù)據(jù)溢出漏洞”，由于搜狗瀏覽器使用了老版本Chromium瀏覽器內(nèi)核，同時(shí)卻沒有開啟沙箱、DEP（數(shù)據(jù)執(zhí)行保護(hù)）、ASLR（地址隨機(jī)化保護(hù)）等安全防護(hù)措施，導(dǎo)致其相比其它Chromium內(nèi)核瀏覽器更易被黑客攻破。

經(jīng)技術(shù)人員測(cè)試，根據(jù)公布的攻擊代碼，黑客可以通過搜狗瀏覽器控制包括WindowsXP、Vista、Windows7及Windows8系統(tǒng)在內(nèi)的幾乎所有Windows操作系統(tǒng)。因此，360安全中心將該漏洞定義為高危漏洞，該漏洞一旦被黑客利用，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進(jìn)行各種非法操作。

由于該漏洞攻擊代碼已被公開，隨時(shí)有可能被黑客大規(guī)模利用。因此，360啟動(dòng)“緊急漏洞預(yù)警機(jī)制”，已經(jīng)及時(shí)通知搜狗公司并上報(bào)國(guó)家漏洞庫。由于目前該漏洞暫時(shí)沒有補(bǔ)丁可以修復(fù)，建議搜狗瀏覽器用戶盡快升級(jí)到最新版本，以保護(hù)上網(wǎng)安全。

附：搜狗瀏覽器漏洞分析

漏洞名稱：數(shù)據(jù)溢出導(dǎo)致遠(yuǎn)程代碼執(zhí)行

漏洞版本：搜狗瀏覽器3.1以下版本（版本號(hào)<3.1）

影響平臺(tái)：Windows XP/Vista/Win7/Win8全系列操作系統(tǒng)

漏洞原因：搜狗瀏覽器基于GoogleChromium瀏覽器內(nèi)核，其3.1以下版本使用過期Chromium內(nèi)核，導(dǎo)致Webkit里處理EventSource網(wǎng)頁元素的代碼endRequest()時(shí)，沒有正確處理可能的畸形參數(shù)。如果用戶訪問了黑客構(gòu)造的惡意網(wǎng)頁，攻擊代碼可能觸發(fā)內(nèi)存破壞，從而執(zhí)行任意指令，例如自動(dòng)下載運(yùn)行黑客指定的木馬病毒。

由于搜狗瀏覽器缺乏安全防護(hù)機(jī)制，導(dǎo)致其漏洞更容易被黑客利用。例如，搜狗瀏覽器并沒有集成沙箱，無法隔離惡意代碼；沒有啟用DEP（數(shù)據(jù)執(zhí)行保護(hù)），無法保護(hù)程序的關(guān)鍵內(nèi)存區(qū)域；也沒有啟用ASLR（地址隨機(jī)化保護(hù)），無法阻止惡意代碼使用系統(tǒng)模塊的函數(shù)。