6月14日,奇虎360公司旗下以安全為主打概念的產品360瀏覽器存在重大安全漏洞。國內安全公司知道創宇率先發現了存在于該系列瀏覽器中的此漏洞,根據知道創宇在微博公布的漏洞信息顯示,360瀏覽器特殊信任了ext.chrome.360.cn,導致存在安全漏洞,利用該漏洞攻擊者可以進行跨協議操作,可能會威脅到網民的上網安全,同時攻擊者可發起更隱蔽的掛馬與釣魚攻擊。
360瀏覽器跨協議漏洞
據悉,知道創宇目前已經將漏洞信息知會奇虎360公司,但截止記者發稿時,360方面仍然沒有表示何時會推出針對該漏洞的補丁文件。目前,電腦管家已經在第一時間修復了該漏洞,用戶可以通過安裝電腦管家進行修復防護。也可選用其他的瀏覽器瀏覽信息,以防被黑客攻擊利用。而除了該跨協議漏洞之外,360還有多個網站存在XSS跨站攻擊漏洞,熟練的黑客可以組合使用這些漏洞,讓其危害性倍增。
業內安全專家陳小兵稱,跨協議攻擊漏洞對于瀏覽器這類網民需要天天使用的軟件危害極大。如果黑客成功對用戶實施攻擊,將會造成用戶本機數據泄密。黑客可以通過構造一個含有惡意網頁,再通過其他黑客手段讓用戶保存在自己本機的文件泄露在黑客的面前。而目前已知經過驗證的攻擊手段就有中間人攻擊或DNS欺騙、XSS跨站攻擊等多種手法可以讓該漏洞直接對網友構成威脅。
奇虎360公司長期以來一直用安全、快速兩個概念包裝360瀏覽器,但是隨著近年來360瀏覽器連續爆出多個漏洞,360瀏覽器已經距離其想樹立的安全概念越來越遠。據陳小兵分析,360瀏覽器連續造成安全隱患與其使用的瀏覽器內核有關。360瀏覽器使用的是谷歌公司Chrome瀏覽器開源內核,但360在引用Google內核時進行了一些特殊改動,以實現360的部分商業利益。這些改動造成了360無法保持與谷歌Chrome的同步更新,甚至造成了有些漏洞Chrome已經修復,但是360瀏覽器中卻仍然存在該漏洞的問題。
陳小兵表示,360瀏覽器功能已經日漸復雜,但360卻未能及時修補這些谷歌已經修復的漏洞,隨著今后360瀏覽器代碼的不斷膨脹,許多陳舊的Chrome瀏覽器漏洞可能已經在Chrome中修復,但是卻仍然會存在在360瀏覽器中,長久不被發現,給用戶上網構成為重大安全隱患。安全專家建議網民在訪問網頁時最好直接使用Google Chrome,特別是進行如銀行轉賬和網絡交易時,盡量使用新版IE瀏覽器、Firefox或Chrome瀏覽器以提高安全保證。
渝公網安備 50024202000196號
域名注冊知識
虛擬主機知識
網站建設知識
網絡推廣知識
網絡營銷知識
常見技術問題
QQ空間
新浪微博
開心網
人人網