首页 资讯中心 软件 安全 阅读正文 :
推荐抖音学暴漫“作死”?再现侮辱烈士现象

360回应乌云曝光 承认存在安全漏洞

来源: Donews.com 编辑:未知 2012-10-17 17:19 评论:

网络安全漏洞报告平台“乌云”日前连续曝光360安全浏览器的高危漏洞,面对众多质疑,36承认相关漏洞的存在,但漏洞发现者认为360安全浏览器最新版仍有问题。

漏洞作者“唐尸三摆手”于2012年10月14日和16日连续发现360安全浏览器欺诈漏洞和远程代码执行漏洞,均属高危害级别漏洞。同时指出,此前“乌云”于10月9日曝出而被360选择忽略的主程序严重漏洞,可导致恶意程序绕过360的主动安全防御体系进行攻击,后果严重。

面对10月9日乌云提出的主程序漏洞,360官方表示对用户无影响,选择忽略,随后却悄悄在后台进行了修复。而此次360很快确认了漏洞的存在,并迅速修复。为何反应反差如此之大?记者调查后发现,一方面是因为该连续被曝光的360浏览器安全漏洞确实严重,已不容其回避;另一方面,是漏洞作者提交漏洞描述话语中“请尊重技术”对360产生了刺激,已不容其伪装。

 

漏洞作者在10月14日的提交描述中这样写道:最近360很火啊,又看到微博上乌云发的那个安全问题被360水军猛喷,喷乌云就算了,可是某些言论把哥也惹到了,哥毕竟也是那个@360安扬 所骂的 搞web安全的,不懂客户端安全的人里的一个..... 之前报告360的安全问题(即指10月9日的安全漏洞)人家补了,感谢都没一个,软件基本都是不完美的,有点漏洞很正常,好好讨论就是,喷就不对了……360安全浏览器中存在一个安全问题,可以诱导用户访问任意域名但是攻击者可以控制其中的内容,url看起来可信,但是实际上内容却可以是黑客构造的,形成钓鱼欺诈漏洞。

10月16日对360漏洞的提交描述:接着上次的漏洞,希望能改变一下别人对技术的态度和看法,偶申明下偶是搞web安全的,但是也对客户端安全乃至安全有一些自己的看法,经过几天的研究又发现了一些严重问题,而且可以证明之前360忽略的漏洞是可以用来突破360自身的安全防御体系的,也就是用于绕过主动防御的,同时关于一些system32目录会不可写之类的安全限制其实自身都有缺陷,也都是可以绕过的,希望大家在评估安全问题的时候思路可以更为开阔点,更为坦诚点,尊重技术。

他同时指出在360推出的安全浏览器最新版本中问题仍然存在。

之前就有媒体关于360回避和弱化安全浏览器安全问题的报道,近日,随着“打架斗士”方舟子质疑360浏览器泄漏用户隐私等一系列问题的战事升级,越来越多被蒙蔽的用户才开始认清360绑架、欺骗用户的本质。

笔者看来,360产品不仅在安全技术上存在严重缺陷,面对第三方人士和机构指出的安全问题的态度和方式上更加不堪。日益激起公众和技术专业人士公愤的360,必得及时悬崖勒马,正确对待技术短板和安全漏洞问题,摒弃各种不正当行径,走正道,才有可能真正赢得用户。

据了解,乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”,在这个不做“云”不好意思和人家打招呼的时代,网络安全相关的,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。

 

 

(http://www.wooyun.org/bugs/wooyun-2010-013430)

责任编辑:未知
    焦点资讯