漏洞概要
关注数(24)
关注此漏洞
漏洞标题:搜狗重大安全漏洞可直接登陆数千账户
相关厂商:搜狗
提交时间:2013-11-05 15:59
修复时间:2013-11-05 19:34
公开时间:2013-11-05 19:34
漏洞类型:网络敏感信息泄漏
危害等级:高
自评Rank:15
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2013-11-05: 细节已通知厂商并且等待厂商处理中
2013-11-05: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
某论坛看到的 这是真的吗???
详细说明:
漏洞证明:
一直使用搜狗浏览器,最近更新了4.2新版,登录慢多了,折腾了几下居然发现搜狗浏览器一个大漏洞!
用QQ帐号登录搜狗,快速点几下退出,等几分钟,搜狗浏览器就自动下载居多的密码自动填表、收藏夹、网页更新提醒下来,收藏夹里都不是我保存的内容!
保存的几千个网站密码也都不是我的!看了智能填表里保存的网站密码,有淘宝的、微博的、网易和QQ邮箱的、各种学校教务处的、随便点一个进去直接就记住密码进去到别人的淘宝帐号去了,直接可以买东西啊有木有!有图有真相!
先用QQ 帐号登录!必须用QQ账号登陆搜狗网络账号才行
乱操作几下,等几分钟,打开工具->智能填表->管理表单数据
各种用户名密码全都出来了啊,估计至少有好几千个
随便选一个,直接 就出来密码了
接着就登陆进去了。。。
各种邮箱
收藏夹里也多出一堆别人的收藏夹
看起来是搜狗浏览器把一堆别人保存的用户名密码,还有收藏夹之类的东西都同步到我的机器上了。
不会分析,哪位大神给分析下是什么原因啊,是不是搜狗的服务器出问题了啊,存了这多用户的密码泄漏了就太悲剧了啊。
我找了半天,终于发现了点线索:
在c:\document and settings\administrator\application data\sogouexplorer下面被更新了好大的文件啊,我看以前这里的文件都很小,看来是同步了那么多别人的数据就在这里了啊
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-11-05 19:34
厂商回复:
感谢您对搜狗的关注与支持,针对此现象,搜狗浏览器技术团队已进行了调查核实,经过查证,我们没有发现所谓的重大安全漏洞,更没有大量用户隐私被泄露的情况发生。我们已在新浪微博搜狗官微发布了《捍卫用户利益及互联网精神 搜狗致用户书》进行了详细说明。
最新状态:
暂无
漏洞评价:
评论
-
2013-11-05 16:08 |
xsser 
( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
这个应该是偶尔的串号,但是估计的确被某些人给发现了
-
2013-11-05 16:16 |
Mr.醉心 ( 路人 | Rank:2 漏洞数:2 | 爱生活,爱音乐,爱美女,更爱波多野结衣)
-
2013-11-05 16:34 |
围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)
360已经发布了。。我觉得应该是串了。。不会那么弱智的漏洞吧 ,这下有看头了
-
2013-11-05 16:45 |
国士无双 ( 路人 | Rank:5 漏洞数:5 | 小伙伴都惊呆了...)
偶尔串吧,不过搜狗不是被腾讯收了?QQ空间登陆接口的问题吧...
-
2013-11-05 17:01 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@国士无双 嗯 大用户量下很容易出现这个情况 应该也不轻易重现
-
2013-11-05 18:09 |
Hilbert ( 路人 | Rank:5 漏洞数:1 | 今晚打老虎)
http://v.youku.com/v_show/id_XNjMwNjYwOTA0.html
-
2013-11-05 18:10 |
Hilbert ( 路人 | Rank:5 漏洞数:1 | 今晚打老虎)
http://v.youku.com/v_show/id_XNjMwNjYwOTA0.html
-
2013-11-05 18:31 |
浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)
-
2013-11-05 19:40 |
xyang ( 普通白帽子 | Rank:242 漏洞数:51 | stay hungry stay foolish)
早上看到我就特意下了个搜狗浏览器,并实验了下,未发现有这个问题~
-
2013-11-05 19:44 |
国士无双 ( 路人 | Rank:5 漏洞数:5 | 小伙伴都惊呆了...)
-
2013-11-05 19:50 |
国士无双 ( 路人 | Rank:5 漏洞数:5 | 小伙伴都惊呆了...)
-
2013-11-05 20:45 |
Jason ( 路人 | Rank:0 漏洞数:1 | 我是来打酱油的!~~~)
一回来看到360弹窗说这事,按着360测试的视频征集测试了一下,根本无法重现。而且360的视频是剪切过的,难以让人信服,不会有360想抹黑搜狗吧?
-
2013-11-05 20:51 |
悠悠 ( 路人 | Rank:22 漏洞数:5 | 悠悠~~)
可以确定是360摸黑了。。。先给大家看帖子主人的声明,http://bbs.kafan.cn/thread-1648838-1-1.html后面我再把其中的端倪从头道来,请关注该贴。竞争对手真是啥办法都弄得出来啊。
-
2013-11-05 23:28 |
darkrerror ( 普通白帽子 | Rank:263 漏洞数:44 )
-
2013-11-06 00:05 |
gainover ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)
-
2013-11-06 09:12 |
齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)
这种机制本身就不是很安全。还是喜欢lasspass
-
2013-11-06 11:30 |
悠悠 ( 路人 | Rank:22 漏洞数:5 | 悠悠~~)
@xsser 搜狗浏览器事件真相曝光 呵呵。http://weibo.com/1789156972/Ahs2GlOsT 文章的PDF地址:http://share.weiyun.com/5571f2c3f31746340e92c8942601d544
-
2013-11-06 12:07 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
@xsser 其实我非常担心,现在各厂家的市场营销部对乌云进行了舆论利用,这点你们团队可能也要考虑如何应对了。其它信息见:http://weibo.com/1454872824/Ahsp7ggJW
-
2013-11-06 12:18 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@悠悠 @horseluke 我相信问题是存在的,但是360的确可能进行了放大,但sogou完全的否认掉,这两者都不靠谱,这里http://zone.wooyun.org/content/7950 有详细的讨论
-
2013-11-06 12:20 |
xsser ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)
@悠悠 @horseluke 另外安全问题往往脱离了本身的意义 这个问题完全可以避免掉 只要在云端加密,在客户端针对每个单独的用户解密就可以,没必要完全存储明文吧,同样的问题这里也有一个 http://zone.wooyun.org/content/7934
-
2013-11-06 15:29 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
@xsser 嗯,还是到zone讨论这个漏洞的成因吧...
-
2013-11-06 15:30 |
horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)
@xsser 如果一个用户一把密钥,即使出问题,应该不至于这么糟糕,不过目前来看,许多云不考虑这点
-
2013-11-07 18:50 |
233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)
-
2013-11-08 09:33 |
kid23 ( 路人 | Rank:0 漏洞数:1 | 1+1=10)
-
2013-11-08 16:30 |
lodx ( 路人 | 还没有发布任何漏洞 | Just an amateur.)
