工程師會診搜狗瀏覽器漏洞：內(nèi)核落后是關(guān)鍵

　今天QQ新聞彈窗報道“搜狗瀏覽器漏洞”，不少搜狗用戶因此產(chǎn)生疑慮，希望進一步了解這個漏洞究竟有多大影響。接下來，小編特意邀請到兩位網(wǎng)絡(luò)安全工程師，由他們詳解搜狗漏洞。

　　工程師簡介：潘先生，信息安全工程師，就職于一家門戶網(wǎng)站；秦先生，WEB安全產(chǎn)品開發(fā)人員，就職于一家軟件公司。

　　漏洞危害：搜狗防不住機器狗

　　潘先生：搜狗瀏覽器漏洞最早是在國外技術(shù)網(wǎng)站Sysinternals上曝光的，從研究人員發(fā)布的Youtube演示視頻來看，這個漏洞確實可以通過網(wǎng)頁觸發(fā)，執(zhí)行遠程代碼。也就是說，搜狗瀏覽器用戶在打開一個掛馬網(wǎng)頁的同時，木馬就自動植入了電腦。

　　秦先生：瀏覽器是黑客特別熱衷攻擊的對象，因為它本身就是上網(wǎng)入口。利用搜狗漏洞，黑客完全可以控制植入哪些木馬。當年熊貓燒香、機器狗等惡性木馬都曾利用IE6瀏覽器漏洞控制了大量“肉機”，搜狗如果不修復(fù)漏洞，同樣會被機器狗入侵。

　　漏洞根源：內(nèi)核過于落后

　　潘先生：搜狗瀏覽器基于Google的Chromium 6內(nèi)核。問題是，現(xiàn)在Chromium版本號到了14，大多數(shù)搜狗用戶還在用著1年多以前的瀏覽器內(nèi)核，這里面很多漏洞都已經(jīng)在exploit-db、Secunia、SecurityFocus等等國際漏洞研究組織上公開了。從這個角度來說，搜狗瀏覽器的安全性還不如打好補丁的IE6。

　　秦先生：補充一點，過去Google Chrome瀏覽器也有漏洞曝光的情況，但是因為Chrome內(nèi)置了沙箱，惡意代碼沒辦法突破沙箱，瀏覽器即便有漏洞也不會造成實質(zhì)影響。在之前的Pwn2Own黑客大賽上，Chrome憑借沙箱防護，成為國外唯一沒有被攻克的瀏覽器。搜狗雖然用了Google的瀏覽器內(nèi)核，卻沒有沙箱，安全性自然有天壤之別。

　　工程師質(zhì)疑：本地化改造不可糊弄用戶

　　潘先生：從瀏覽器發(fā)展趨勢來看，全世界都意識到了完善安全防護機制的重要性。Windows提供了DEP和ASLR系統(tǒng)安全功能，包括Chrome和IE8瀏覽器都默認開啟了這兩項安全特性。搜狗瀏覽器在Chromium內(nèi)核基礎(chǔ)上做本地化改造，反而把DEP和ASLR改造沒了，這是對用戶的不負責(zé)任，實在讓人難以理解。

　　秦先生：用武俠小說比喻，DEP（數(shù)據(jù)執(zhí)行保護）相當于“軟猬甲”，作用是護住要害；ASLR（地址隨機化保護）相當于“凌波微步”，讓敵人能看到你的漏洞卻抓不住你；沙箱則是保鏢，遇到可疑的人都由沙箱去對付，自己不會有任何危險。搜狗瀏覽器既沒有DEP和ASLR，更沒有沙箱，同時還有很多公開漏洞，當然會被黑客輕易攻破。

　　安全措施：謹慎點擊陌生網(wǎng)址

　　對搜狗瀏覽器用戶，兩位工程師做出如下建議：

　　一、不要隨便點擊陌生網(wǎng)址；

　　二、注意保持殺毒軟件更新；

　　三、如果確實想上某些經(jīng)常掛馬帶毒的網(wǎng)站，還是換一款瀏覽器吧。