搜狗：瀏覽器漏洞爆料受人抹黑 呼吁360協助分析

12月 2 日消息，針對近日被爆存在安全漏洞一事，搜狗公司今日做出了正面回應，稱無法證實該漏洞，不過已經按照預案升級。搜狗公司表示該爆料存在人為操作痕跡，涉嫌不正當競爭。

近日，國外視頻網站 油Tube 爆出黑客通過搜狗瀏覽器的“緩沖區溢出漏洞”攻破 Win8 操作系統的視頻。一些安全人士表示，該事件主要原因是搜狗瀏覽器使用了過期的 Google Chrome 瀏覽器內核。

搜狗瀏覽器開發小組對此事作出了說明，以下為說明全文：

關于傳“搜狗瀏覽器被爆緩沖區溢出漏洞”的說明

近日網絡上有消息稱，搜狗瀏覽器高速內核存在“緩沖區溢出漏洞”。經調查，我們特說明如下：

1. 搜狗未證實此漏洞，但已經按照預案升級。

搜狗瀏覽器早前版本的高速引擎用的是谷歌研發的 Chromium 6.0 內核，與谷歌瀏覽器的同內核版本一致。我們進行分析并聯系了谷歌公司的工程師，均無法證實該消息所指漏洞。但本著為用戶負責的態度，我們已按預案于 11 月 29 日將搜狗瀏覽器升級為3.1版本，該版本采用了新版的 Chromium 14.0 內核，以提升安全等級。軟件業有一個常識：軟件是不可避免有漏洞的，處于不斷修補和升級的過程。各種桌面軟件，包括微軟 IE、谷歌瀏覽器、火狐瀏覽器都存在漏洞，慣例是通過升級或補丁解決。以 2011 年為例，微軟公司與安全漏洞相關的產品升級（Windows Update）已達一百多次；而上網常用的 Flash 軟件，今年已公布 12 次嚴重安全漏洞，這些漏洞會影響各種使用 Flash 插件的瀏覽器（包括號稱安全的 360 安全瀏覽器）。發現和修補漏洞是一種軟件行業的常態。

2. 有證據表明，“爆料”存在明顯的人為操縱痕跡，涉嫌不正當競爭。

該消息最早出現在一個叫 Sysinternals 的國外技術論壇，論壇賬號“huntvulnerable” 于 11 月 13 日注冊，第二天就“爆料”。一個技術人員專程到國外小網站上去指名道姓討論中國瀏覽器實屬罕見。按照常理，如果他是外國人，更可能關注擁有同樣內核和潛在漏洞的谷歌瀏覽器；如果他是中國人，也沒有必要臨時注冊賬號發到國外論壇再讓媒體“出口轉內銷”，并拒不接受搜狗主動詢問。該爆料還聲稱搜狗瀏覽器的之前版本也存在此漏洞，說明“他”在持續“關注”搜狗瀏覽器。從該消息的整個生產過程到媒體散布路徑，充滿了人為操縱痕跡，完全符合之前國內某些互聯網公司不正當競爭中的惡劣手法。

3. 為保護用戶利益，發現漏洞后通知廠商是行業操守，修補系統則是安全廠商義務。

因為每個軟件都避免不了漏洞，所以全世界軟件廠商、從業人員(包括有良知的黑客)都一直遵守共同的價值觀：以保密方式及時通知相關廠商，以便進行升級或修補，保護用戶的利益。這是軟件行業的通行做法，更是安全廠商的義務。以谷歌瀏覽器為例，發現漏洞后谷歌只會透露 Bug 號而從不提漏洞具體內容。但該爆料漏洞的消息一不通知谷歌、二不通知搜狗，并且一直不回復搜狗的主動詢問，卻選擇了通過國內媒體和微博大肆散布，甚至故意流出演示如何攻擊用戶的視頻。無論是否真的存在所謂漏洞，我們對這種不良行為表示遺憾。

4. 呼吁 360 等安全廠商履行正面義務，協助分析證實是否存在該潛在漏洞。

我們從可靠渠道獲悉：奇虎 360 公司部分員工在數周前曾私下表示，通過研究谷歌瀏覽器和搜狗瀏覽器，已經掌握和重現了可能存在的漏洞。另外，前谷歌瀏覽器開發團隊的某資深工程師已于 6 月加盟奇虎 360。而搜狗瀏覽器和谷歌瀏覽器均采用了谷歌研發的 Chromium 內核，谷歌瀏覽器開發團隊的核心成員最有機會了解該內核的漏洞。我們呼吁，360等廠商應該履行安全廠商的基本義務：若漏洞存在，應以正當方式通知搜狗，采取措施控制漏洞的可能泄露，向廣大網民擔負起責任。

我們真誠地希望：大家以科學心、平常心去看待每一款軟件，相信全球業界通行數十年的產業規律和共同價值觀。

這是一個開放、擔當、共贏的偉大互聯網時代，用戶應該擁有免于恐懼的自由。只有相信文明，我們才能真正得到文明。

來自: TechWeb