搜狗瀏覽器曝重大漏洞 是競(jìng)爭(zhēng)對(duì)手在幕后惡意中傷？

UPDATE 1——

搜狗官方已經(jīng)發(fā)表聲明，稱“確認(rèn)并不存在此類現(xiàn)象”，并暗示這是某些競(jìng)爭(zhēng)對(duì)手在幕后惡意中傷、發(fā)起不正當(dāng)競(jìng)爭(zhēng)：

http://news.mydrivers.com/1/281/281526.htm

UPDATE 2——

發(fā)貼人稱被盜號(hào)，原帖已經(jīng)刪除：

http://news.mydrivers.com/1/281/281595.htm

UPDATE 3——

搜狗官方發(fā)布調(diào)查報(bào)告，直指是360炮制了這起史上最惡劣的造謠事件：

http://news.mydrivers.com/1/281/281812.htm

今天早些時(shí)候，卡飯論壇中有網(wǎng)友曝料稱，發(fā)現(xiàn)搜狗瀏覽器存在重大安全漏洞。

網(wǎng)友“k53941”發(fā)帖稱，他一直使用搜狗瀏覽器，最近更新了4.2版，發(fā)現(xiàn)登錄慢多了，折騰了幾下居然找到了一個(gè)大漏洞。

據(jù)稱漏洞簡(jiǎn)單又夸張的不可思議：用QQ帳號(hào)登錄搜狗，快速點(diǎn)幾下馬上退出，等幾分鐘，搜狗瀏覽器就自動(dòng)下載大量來(lái)歷不明的密碼自動(dòng)填表、收藏夾、網(wǎng)頁(yè)更新提醒，而且收藏夾里都不是用戶自己保存的內(nèi)容，幾千個(gè)密碼也是別人的。

經(jīng)檢查，智能填表里保存的網(wǎng)站密碼有淘寶的、微博的、網(wǎng)易的、QQ郵箱的、各種學(xué)校教務(wù)處的，隨便點(diǎn)一個(gè)直接就記住密碼進(jìn)入別人的淘寶帳號(hào)了，甚至直接可以買(mǎi)東西!

看上去搜狗把用戶保存并上傳的資料給同步到其他人機(jī)器上了。

具體演示過(guò)程如下：

先用QQ帳號(hào)登錄，其它賬號(hào)不行。

隨便操作幾下退出，等幾分鐘重新打開(kāi)搜狗瀏覽器，打開(kāi)工具->智能填表->管理表單數(shù)據(jù)，各種用戶名密碼全都出來(lái)了，至少有好幾千個(gè)。

隨便選一個(gè)，密碼直接就出來(lái)了。

接著就登陸進(jìn)去了。

各種郵箱。

收藏夾里也多出一堆別人的東西。

經(jīng)過(guò)反復(fù)查找，這位用戶在C:\document and settings\administrator\application data\sogouexplorer下面發(fā)現(xiàn)更新了很大的文件，“HistoryUrl”、“FormData”很明顯分別對(duì)應(yīng)歷史記錄、填表數(shù)據(jù)。顯然搜狗將用戶數(shù)據(jù)都同步到了這里，都是數(shù)據(jù)庫(kù)格式。

視頻：

http://v.youku.com/v_show/id_XNjMwNjYwOTA0.html

不過(guò)現(xiàn)在嘗試用QQ賬號(hào)登陸搜狗瀏覽器，會(huì)彈出提示“暫時(shí)無(wú)法連接服務(wù)器”。

映象網(wǎng)就此撥打搜狗公司客服熱點(diǎn)詢問(wèn)。接線員回應(yīng)說(shuō)，搜狗瀏覽器團(tuán)隊(duì)確已發(fā)現(xiàn)相關(guān)安全漏洞問(wèn)題，正在緊張?zhí)幚?，稍后官方?huì)作出公開(kāi)回復(fù)。

在被問(wèn)及漏洞是不是已經(jīng)發(fā)現(xiàn)很久了時(shí)，該接線員回復(fù)稱是剛剛發(fā)現(xiàn)的。

關(guān)鍵詞： 搜狗瀏覽器 重大漏洞