http://pop.zt.360.cn/20101220/3107.html?tpl=df&page=1
近期,接到用户反馈,使用自己的QQ账户登陆搜狗浏览器,可以查看到大量其他用户的所有账号,包括银行、支付宝等涉及用户财产的账户信息,甚至可以直接进入其他人的银行、网购账号,进行转账或支付交易。专业安全技术论坛卡饭上,也有安全技术人员对此进行详细披露。(相关视频:http://v.youku.com/v_show/id_XNjMwNjYwOTA0.html)
经360技术人员验证,搜狗浏览器的“智能填表”功能存在重大安全漏洞。用户在使用QQ账户登陆搜狗浏览器最新4.2版本后,搜狗浏览器会自动下载大量其他用户的用户名和密码信息。这些信息包含了用户的淘宝、微博、网易和QQ邮箱等所有账户,点击就可以顺利进入这些帐号。
经分析,这是搜狗浏览器将大量用户保存的账户密码以及收藏夹等信息,同步到了其他人电脑上。
由于搜狗的重大安全漏洞非常容易重现,任何用户都可以根据网络上已经公开的情况进行验证。这样,数千万用户的核心账户直接会被登陆,可能造成大量用户的隐私被泄露,财产受损失。
鉴于此漏洞涉及用户数量庞大,危害性极强,属于互联网上重大安全事件。360已经紧急通知国家互联网应急中心(CNCERT)和搜狗公司。
强烈建议用户:
1、所有曾经使用搜狗浏览器登陆过的账户密码全部需要修改,尤其是涉及到银行、支付宝、游戏帐号、云存储、邮箱等财产和隐私数据的账户。
2、在搜狗浏览器修复漏洞之前,暂停使用该浏览器,换用其他浏览器。
更换其他浏览器: