360回应乌云曝光 承认存在安全漏洞

网络安全漏洞报告平台“乌云”日前连续曝光360安全浏览器的高危漏洞，面对众多质疑，36承认相关漏洞的存在，但漏洞发现者认为360安全浏览器最新版仍有问题。

　　网络安全漏洞报告平台“乌云”日前连续曝光360安全浏览器的高危漏洞，面对众多质疑，36承认相关漏洞的存在，但漏洞发现者认为360安全浏览器最新版仍有问题。

　　漏洞作者“唐尸三摆手”于2012年10月14日和16日连续发现360安全浏览器欺诈漏洞和远程代码执行漏洞，均属高危害级别漏洞。同时指出，此前“乌云”于10月9日曝出而被360选择忽略的主程序严重漏洞，可导致恶意程序绕过360的主动安全防御体系进行攻击，后果严重。

　　面对10月9日乌云提出的主程序漏洞，360官方表示对用户无影响，选择忽略，随后却悄悄在后台进行了修复。而此次360很快确认了漏洞的存在，并迅速修复。为何反应反差如此之大?记者调查后发现，一方面是因为该连续被曝光的360浏览器安全漏洞确实严重，已不容其回避;另一方面，是漏洞作者提交漏洞描述话语中“请尊重技术”对360产生了刺激，已不容其伪装。

　　漏洞作者在10月14日的提交描述中这样写道：最近360很火啊，又看到微博上乌云发的那个安全问题被360水军猛喷，喷乌云就算了，可是某些言论把哥也惹到了，哥毕竟也是那个@360安扬 所骂的 搞web安全的，不懂客户端安全的人里的一个..... 之前报告360的安全问题(即指10月9日的安全漏洞)人家补了，感谢都没一个，软件基本都是不完美的，有点漏洞很正常，好好讨论就是，喷就不对了……360安全浏览器中存在一个安全问题，可以诱导用户访问任意域名但是攻击者可以控制其中的内容，url看起来可信，但是实际上内容却可以是黑客构造的，形成钓鱼欺诈漏洞。

　　10月16日对360漏洞的提交描述：接着上次的漏洞，希望能改变一下别人对技术的态度和看法，偶申明下偶是搞web安全的，但是也对客户端安全乃至安全有一些自己的看法，经过几天的研究又发现了一些严重问题，而且可以证明之前360忽略的漏洞是可以用来突破360自身的安全防御体系的，也就是用于绕过主动防御的，同时关于一些system32目录会不可写之类的安全限制其实自身都有缺陷，也都是可以绕过的，希望大家在评估安全问题的时候思路可以更为开阔点，更为坦诚点，尊重技术。

　　他同时指出在360推出的安全浏览器最新版本中问题仍然存在。

　　之前就有媒体关于360回避和弱化安全浏览器安全问题的报道，近日，随着“打架斗士”方舟子质疑360浏览器泄漏用户隐私等一系列问题的战事升级，越来越多被蒙蔽的用户才开始认清360绑架、欺骗用户的本质。

　　笔者看来，360产品不仅在安全技术上存在严重缺陷，面对第三方人士和机构指出的安全问题的态度和方式上更加不堪。日益激起公众和技术专业人士公愤的360，必得及时悬崖勒马，正确对待技术短板和安全漏洞问题，摒弃各种不正当行径，走正道，才有可能真正赢得用户。

　　据了解，乌云是一个位于厂商和安全研究者之间的安全问题反馈平台，在对安全问题进行反馈处理跟进的同时，为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”，在这个不做“云”不好意思和人家打招呼的时代，网络安全相关的，无论是技术还是思路都会有点黑色的感觉，所以自然出现了乌云。

　　(http://www.wooyun.org/bugs/wooyun-2010-013430)