Sysinternals论坛 漏洞猎手 搜狗漏洞

国外技术网站Sysinternals论坛，ID为“漏洞猎手”的黑客放出了对搜狗浏览器漏洞的攻击代码，可直接通过互联网网页对用户挂马，所有搜狗浏览器3.0X及以下版本用户都在攻击范围之内，涉及用户高达千万。

Sysinternals“漏洞猎手”早在半个月前已宣称发现搜狗浏览器漏洞，最近又相继公布漏洞演示视频和攻击代码。事件发生后，360安全中心一直严密关注该漏洞信息，经对公布的攻击代码进行技术验证，发现搜狗浏览器确实可被黑客利用挂马。

360安全中心工程师分析发现，搜狗浏览器漏洞是一个威胁程度较高的“数据溢出漏洞”，由于搜狗浏览器使用了老版本Chromium浏览器内核，同时却没有开启沙箱、DEP（数据执行保护）、ASLR（地址随机化保护）等安全防护措施，导致其相比其它Chromium内核浏览器更易被黑客攻破。

经技术人员测试，根据公布的攻击代码，黑客可以通过搜狗浏览器控制包括WindowsXP、Vista、Windows7及Windows8系统在内的几乎所有Windows操作系统。因此，360安全中心将该漏洞定义为高危漏洞，该漏洞一旦被黑客利用，可以利用它执行非授权指令，甚至可以取得系统特权，进行各种非法操作。

由于该漏洞攻击代码已被公开，随时有可能被黑客大规模利用。因此，360启动“紧急漏洞预警机制”，已经及时通知搜狗公司并上报国家漏洞库。由于目前该漏洞暂时没有补丁可以修复，建议搜狗浏览器用户尽快升级到最新版本，以保护上网安全。

附：搜狗浏览器漏洞分析

漏洞名称：数据溢出导致远程代码执行

漏洞版本：搜狗浏览器3.1以下版本（版本号<3.1）

影响平台：Windows XP/Vista/Win7/Win8全系列操作系统

漏洞原因：搜狗浏览器基于GoogleChromium浏览器内核，其3.1以下版本使用过期Chromium内核，导致Webkit里处理EventSource网页元素的代码endRequest()时，没有正确处理可能的畸形参数。如果用户访问了黑客构造的恶意网页，攻击代码可能触发内存破坏，从而执行任意指令，例如自动下载运行黑客指定的木马病毒。

由于搜狗浏览器缺乏安全防护机制，导致其漏洞更容易被黑客利用。例如，搜狗浏览器并没有集成沙箱，无法隔离恶意代码；没有启用DEP（数据执行保护），无法保护程序的关键内存区域；也没有启用ASLR（地址随机化保护），无法阻止恶意代码使用系统模块的函数。