今天早些時(shí)候，卡飯論壇中有網(wǎng)友曝料稱，發(fā)現(xiàn)搜狗瀏覽器存在重大安全漏洞。

　　網(wǎng)友“k53941”發(fā)帖稱，他一直使用搜狗瀏覽器，最近更新了4.2版，發(fā)現(xiàn)登錄慢多了，折騰了幾下居然找到了一個(gè)大漏洞。

　　據(jù)稱漏洞簡(jiǎn)單又夸張的不可思議：用QQ帳號(hào)登錄搜狗，快速點(diǎn)幾下馬上退出，等幾分鐘，搜狗瀏覽器就自動(dòng)下載大量來(lái)歷不明的密碼自動(dòng)填表、收藏夾、網(wǎng)頁(yè)更新提醒，而且收藏夾里都不是用戶自己保存的內(nèi)容，幾千個(gè)密碼也是別人的。

　　經(jīng)檢查，智能填表里保存的網(wǎng)站密碼有淘寶的、微博的、網(wǎng)易的、QQ郵箱的、各種學(xué)校教務(wù)處的，隨便點(diǎn)一個(gè)直接就記住密碼進(jìn)入別人的淘寶帳號(hào)了，甚至直接可以買東西！

　　看上去搜狗把用戶保存并上傳的資料給同步到其他人機(jī)器上了。

　　具體演示過(guò)程如下：

　　先用QQ帳號(hào)登錄，其它賬號(hào)不行。

　　隨便操作幾下退出，等幾分鐘重新打開搜狗瀏覽器，打開工具->智能填表->管理表單數(shù)據(jù)，各種用戶名密碼全都出來(lái)了，至少有好幾千個(gè)。

　　隨便選一個(gè)，密碼直接就出來(lái)了。

　　接著就登陸進(jìn)去了。

　　各種郵箱。

　　收藏夾里也多出一堆別人的東西。

　　經(jīng)過(guò)反復(fù)查找，這位用戶在C:\document and settings\administrator\application data\sogouexplorer下面發(fā)現(xiàn)更新了很大的文件，“HistoryUrl”、“FormData”很明顯分別對(duì)應(yīng)歷史記錄、填表數(shù)據(jù)。顯然搜狗將用戶數(shù)據(jù)都同步到了這里，都是數(shù)據(jù)庫(kù)格式。

　　不過(guò)現(xiàn)在嘗試用QQ賬號(hào)登陸搜狗瀏覽器，會(huì)彈出提示“暫時(shí)無(wú)法連接服務(wù)器”。

　　映象網(wǎng)就此撥打搜狗公司客服熱點(diǎn)詢問(wèn)。接線員回應(yīng)說(shuō)，搜狗瀏覽器團(tuán)隊(duì)確已發(fā)現(xiàn)相關(guān)安全漏洞問(wèn)題，正在緊張?zhí)幚恚院蠊俜綍?huì)作出公開回復(fù)。

　　在被問(wèn)及漏洞是不是已經(jīng)發(fā)現(xiàn)很久了時(shí)，該接線員回復(fù)稱是剛剛發(fā)現(xiàn)的。

來(lái)源：中國(guó)網(wǎng)http://tech.china.com.cn/internet/20131105/69569.shtml