搜狗回应漏洞“爆料”：有明显人为操纵痕迹

　　近日，国外视频网站YouTube爆出黑客通过搜狗浏览器的“缓冲区溢出漏洞”攻破Win8操作系统的视频。一些安全人士表示，该事件主要原因是搜狗浏览器使用了过期的Google Chrome浏览器内核。针对近日被爆存在安全漏洞一事，搜狗公司今日做出了正面回应，称无法证实该漏洞，不过已经按照预案升级。

　　搜狗公司表示该爆料存在人为操作痕迹，涉嫌不正当竞争广告。

　　搜狗浏览器开发小组对此事作出了说明，以下为说明全文：

　　关于传“搜狗浏览器被爆缓冲区溢出漏洞”的说明

　　近日网络上有消息称，搜狗浏览器高速内核存在“缓冲区溢出漏洞”。经调查，我们特说明如下：

　　1.搜狗未证实此漏洞，但已经按照预案升级。

　　搜狗浏览器早前版本的高速引擎用的是谷歌研发的Chromium 6.0内核，与谷歌浏览器的同内核版本一致。我们进行分析并联系了谷歌公司的工程师，均无法证实该消息所指漏洞。但本着为用户负责的态度，我们已按预案于11月29日将搜狗浏览器升级为3.1版本，该版本采用了新版的Chromium 14.0内核，以提升安全等级。软件业有一个常识：软件是不可避免有漏洞的，处于不断修补和升级的过程。各种桌面软件，包括微软IE、谷歌浏览器、火狐浏览器都存在漏洞，惯例是通过升级或补丁解决。以2011年为例，微软公司与安全漏洞相关的产品升级(Windows Update)已达一百多次;而上网常用的Flash软件，今年已公布12次严重安全漏洞，这些漏洞会影响各种使用Flash插件的浏览器(包括号称安全的360安全浏览器)。发现和修补漏洞是一种软件行业的常态。

　　2. 有证据表明，“爆料”存在明显的人为操纵痕迹，涉嫌不正当竞争。

　　该消息最早出现在一个叫Sysinternals的国外技术论坛，论坛账号“huntvulnerable” 于11月13日注册，第二天就“爆料”。一个技术人员专程到国外小网站上去指名道姓讨论中国浏览器实属罕见。按照常理，如果他是外国人，更可能关注拥有同样内核和潜在漏洞的谷歌浏览器;如果他是中国人，也没有必要临时注册账号发到国外论坛再让媒体“出口转内销”，并拒不接受搜狗主动询问。该爆料还声称搜狗浏览器的之前版本也存在此漏洞，说明“他”在持续“关注”搜狗浏览器。从该消息的整个生产过程到媒体散布路径，充满了人为操纵痕迹，完全符合之前国内某些互联网公司不正当竞争中的恶劣手法。

　　3.为保护用户利益，发现漏洞后通知厂商是行业操守，修补系统则是安全厂商义务。

　　因为每个软件都避免不了漏洞，所以全世界软件厂商、从业人员(包括有良知的黑客)都一直遵守共同的价值观：以保密方式及时通知相关厂商，以便进行升级或修补，保护用户的利益。这是软件行业的通行做法，更是安全厂商的义务。以谷歌浏览器为例，发现漏洞后谷歌只会透露Bug号而从不提漏洞具体内容。但该爆料漏洞的消息一不通知谷歌、二不通知搜狗，并且一直不回复搜狗的主动询问，却选择了通过国内媒体和微博大肆散布，甚至故意流出演示如何攻击用户的视频。无论是否真的存在所谓漏洞，我们对这种不良行为表示遗憾。

　　4. 呼吁360等安全厂商履行正面义务，协助分析证实是否存在该潜在漏洞。

　　我们从可靠渠道获悉：奇虎360公司部分员工在数周前曾私下表示，通过研究谷歌浏览器和搜狗浏览器，已经掌握和重现了可能存在的漏洞。另外，前谷歌浏览器开发团队的某资深工程师已于6月加盟奇虎360。而搜狗浏览器和谷歌浏览器均采用了谷歌研发的Chromium内核，谷歌浏览器开发团队的核心成员最有机会了解该内核的漏洞。我们呼吁，360等厂商应该履行安全厂商的基本义务：若漏洞存在，应以正当方式通知搜狗，采取措施控制漏洞的可能泄露，向广大网民担负起责任。

　　我们真诚地希望：大家以科学心、平常心去看待每一款软件，相信全球业界通行数十年的产业规律和共同价值观。

　　这是一个开放、担当、共赢的伟大互联网时代，用户应该拥有免于恐惧的自由。只有相信文明，我们才能真正得到文明。