12月2日,针对近日针对搜狗浏览器高速内核存在“缓冲区溢出漏洞”的报道,搜狗公司发布声明称,目前无法证实此漏洞,并表示该“爆料”存在明显的人为操纵痕迹,涉嫌不正当竞争。
搜狗浏览器早前版本的高速引擎用的是谷歌研发的Chromium 6.0内核,与谷歌浏览器的同内核版本一致。我们进行分析并联系了谷歌公司的工程师,均无法证实该消息所指漏洞。但本着为用户负责的态度,我们已按预案于11月29日将搜狗浏览器升级为3.1版本,该版本采用了新版的Chromium 14.0内核,以提升安全等级。软件业有一个常识:软件是不可避免有漏洞的,处于不断修补和升级的过程。各种桌面软件,包括微软IE、谷歌浏览器、火狐浏览器都存在漏洞,惯例是通过升级或补丁解决。以2011年为例,微软公司与安全漏洞相关的产品升级(Windows Update)已达一百多次;而上网常用的Flash软件,今年已公布12次严重安全漏洞,这些漏洞会影响各种使用Flash插件的浏览器(包括号称安全的360安全浏览器)。发现和修补漏洞是一种软件行业的常态。
该消息最早出现在一个叫Sysinternals的国外技术论坛,论坛账号“huntvulnerable” 于11月13日注册,第二天就“爆料”。一个技术人员专程到国外小网站上去指名道姓讨论中国浏览器实属罕见。按照常理,如果他是外国人,更可能关注拥有同样内核和潜在漏洞的谷歌浏览器;如果他是中国人,也没有必要临时注册账号发到国外论坛再让媒体“出口转内销”,并拒不接受搜狗主动询问。该爆料还声称搜狗浏览器的之前版本也存在此漏洞,说明“他”在持续“关注”搜狗浏览器。从该消息的整个生产过程到媒体散布路径,充满了人为操纵痕迹,完全符合之前国内某些互联网公司不正当竞争中的恶劣手法。
因为每个软件都避免不了漏洞,所以全世界软件厂商、从业人员(包括有良知的黑客)都一直遵守共同的价值观:以保密方式及时通知相关厂商,以便进行升级或修补,保护用户的利益。这是软件行业的通行做法,更是安全厂商的义务。以谷歌浏览器为例,发现漏洞后谷歌只会透露Bug号而从不提漏洞具体内容。但该爆料漏洞的消息一不通知谷歌、二不通知搜狗,并且一直不回复搜狗的主动询问,却选择了通过国内媒体和微博大肆散布,甚至故意流出演示如何攻击用户的视频。无论是否真的存在所谓漏洞,我们对这种不良行为表示遗憾
我们从可靠渠道获悉:奇虎360公司部分员工在数周前曾私下表示,通过研究谷歌浏览器和搜狗浏览器,已经掌握和重现了可能存在的漏洞。另外,前谷歌浏览器开发团队的某资深工程师已于6月加盟奇虎360。而搜狗浏览器和谷歌浏览器均采用了谷歌研发的Chromium内核,谷歌浏览器开发团队的核心成员最有机会了解该内核的漏洞。我们呼吁,360等厂商应该履行安全厂商的基本义务:若漏洞存在,应以正当方式通知搜狗,采取措施控制漏洞的可能泄露,向广大网民担负起责任。
我们真诚地希望:大家以科学心、平常心去看待每一款软件,相信全球业界通行数十年的产业规律和共同价值观。