近日,笔者看到网络上有大量爆料,称搜狗浏览器存在“缓冲区溢出漏洞”。
其实,软件本身就是缺陷的艺术,它是人编出来的,那数以千万行的代码中不可避免会隐藏着一些bug。就连微软这样全球顶级的软件公司,它发布的产品同样也存在太多的漏洞,以至于需要通过经常性的打补丁来填补这些漏洞。
Chrome沙盒被攻破视频
浏览器也是一种软件,当然也会有漏洞。搜狗浏览器有漏洞,360浏览器也有漏洞,就连技术最领先的谷歌Chrome浏览器,同样也有漏洞。前不久,法国安全研究机构VUPEN就声称攻破了牢不可破的Chrome浏览器,Chrome浏览器中包括ASLR(输出地址随机化)、DEP(硬件执行保护)、沙箱(不通过任何windows内核漏洞)在内的所有安全特性均被攻破,攻破后攻击者将可以执行任意代码。VUPEN还在Youtube上展示了一段Chrome浏览器被攻破后的视频,惹得谷歌工程师跳出来说那不过是Adobe公司的Flash中的臭虫造成的,还引发了一场“口水战”。
由此可见,软件中的漏洞是客观存在的,它不以我们的意志为转移的。那么,既然我们平时使用的各种软件都存在各种各样的漏洞,为什么大部分却没有造成危害呢?一个很大的原因就是“盗亦有道”,黑道也有黑道的规矩。就像这次VUPEN虽然号称攻克了Chrome浏览器,却始终没有公开漏洞的细节。而像谷歌这样的大公司发现了漏洞之后会进行保密处理,对外只公布软件中的bug号码,而不会公布bug的具体内容,以防被黑客利用。退一步说,即使是黑客,大多数也很自律,他们只是以找到软件中的漏洞作为乐趣,而不会对外公开漏洞的具体细节,更不会利用漏洞发起攻击。
问题在于,黑道也怕不守规矩的黑道,如果再摊上内部反水的,那就更厉害了。令谷歌没有想到的是,前不久有一位掌握了Chrome部分漏洞的工程师竟然不吃谷歌的饕餮大餐,跳槽到了以“安全”著称某公司。该公司一向喜欢指责其他公司“不安全”,产品存在“安全漏洞”。也真是奇怪,这位大侠去了该公司之后,成长迅速的搜狗浏览器就被人盯上了,各种漏洞就出现了。在这里,我想问这位大侠一句:所谓的“安全浏览器”有没有漏洞?以消除残影。
这款新显示器已经在美国上市,零售价为599美元。