工程师会诊搜狗浏览器漏洞：内核落后是关键

　今天QQ新闻弹窗报道“搜狗浏览器漏洞”，不少搜狗用户因此产生疑虑，希望进一步了解这个漏洞究竟有多大影响。接下来，小编特意邀请到两位网络安全工程师，由他们详解搜狗漏洞。

　　工程师简介：潘先生，信息安全工程师，就职于一家门户网站；秦先生，WEB安全产品开发人员，就职于一家软件公司。

　　漏洞危害：搜狗防不住机器狗

　　潘先生：搜狗浏览器漏洞最早是在国外技术网站Sysinternals上曝光的，从研究人员发布的Youtube演示视频来看，这个漏洞确实可以通过网页触发，执行远程代码。也就是说，搜狗浏览器用户在打开一个挂马网页的同时，木马就自动植入了电脑。

　　秦先生：浏览器是黑客特别热衷攻击的对象，因为它本身就是上网入口。利用搜狗漏洞，黑客完全可以控制植入哪些木马。当年熊猫烧香、机器狗等恶性木马都曾利用IE6浏览器漏洞控制了大量“肉机”，搜狗如果不修复漏洞，同样会被机器狗入侵。

　　漏洞根源：内核过于落后

　　潘先生：搜狗浏览器基于Google的Chromium 6内核。问题是，现在Chromium版本号到了14，大多数搜狗用户还在用着1年多以前的浏览器内核，这里面很多漏洞都已经在exploit-db、Secunia、SecurityFocus等等国际漏洞研究组织上公开了。从这个角度来说，搜狗浏览器的安全性还不如打好补丁的IE6。

　　秦先生：补充一点，过去Google Chrome浏览器也有漏洞曝光的情况，但是因为Chrome内置了沙箱，恶意代码没办法突破沙箱，浏览器即便有漏洞也不会造成实质影响。在之前的Pwn2Own黑客大赛上，Chrome凭借沙箱防护，成为国外唯一没有被攻克的浏览器。搜狗虽然用了Google的浏览器内核，却没有沙箱，安全性自然有天壤之别。

　　工程师质疑：本地化改造不可糊弄用户

　　潘先生：从浏览器发展趋势来看，全世界都意识到了完善安全防护机制的重要性。Windows提供了DEP和ASLR系统安全功能，包括Chrome和IE8浏览器都默认开启了这两项安全特性。搜狗浏览器在Chromium内核基础上做本地化改造，反而把DEP和ASLR改造没了，这是对用户的不负责任，实在让人难以理解。

　　秦先生：用武侠小说比喻，DEP（数据执行保护）相当于“软猬甲”，作用是护住要害；ASLR（地址随机化保护）相当于“凌波微步”，让敌人能看到你的漏洞却抓不住你；沙箱则是保镖，遇到可疑的人都由沙箱去对付，自己不会有任何危险。搜狗浏览器既没有DEP和ASLR，更没有沙箱，同时还有很多公开漏洞，当然会被黑客轻易攻破。

　　安全措施：谨慎点击陌生网址

　　对搜狗浏览器用户，两位工程师做出如下建议：

　　一、不要随便点击陌生网址；

　　二、注意保持杀毒软件更新；

　　三、如果确实想上某些经常挂马带毒的网站，还是换一款浏览器吧。