360连爆”0day”漏洞 安全浏览器不再安全

　　6月14日，奇虎360公司旗下以安全为主打概念的产品360浏览器存在重大安全漏洞。国内安全公司知道创宇率先发现了存在于该系列浏览器中的此漏洞，根据知道创宇在微博公布的漏洞信息显示，360浏览器特殊信任了ext.chrome.360.cn，导致存在安全漏洞，利用该漏洞攻击者可以进行跨协议操作，可能会威胁到网民的上网安全，同时攻击者可发起更隐蔽的挂马与钓鱼攻击。

　　360浏览器跨协议漏洞

　　据悉，知道创宇目前已经将漏洞信息知会奇虎360公司，但截止记者发稿时，360方面仍然没有表示何时会推出针对该漏洞的补丁文件。目前，电脑管家已经在第一时间修复了该漏洞，用户可以通过安装电脑管家进行修复防护。也可选用其他的浏览器浏览信息，以防被黑客攻击利用。而除了该跨协议漏洞之外，360还有多个网站存在XSS跨站攻击漏洞，熟练的黑客可以组合使用这些漏洞，让其危害性倍增。

　　业内安全专家陈小兵称，跨协议攻击漏洞对于浏览器这类网民需要天天使用的软件危害极大。如果黑客成功对用户实施攻击，将会造成用户本机数据泄密。黑客可以通过构造一个含有恶意网页，再通过其他黑客手段让用户保存在自己本机的文件泄露在黑客的面前。而目前已知经过验证的攻击手段就有中间人攻击或DNS欺骗、XSS跨站攻击等多种手法可以让该漏洞直接对网友构成威胁。

　　奇虎360公司长期以来一直用安全、快速两个概念包装360浏览器，但是随着近年来360浏览器连续爆出多个漏洞，360浏览器已经距离其想树立的安全概念越来越远。据陈小兵分析，360浏览器连续造成安全隐患与其使用的浏览器内核有关。360浏览器使用的是谷歌公司Chrome浏览器开源内核，但360在引用Google内核时进行了一些特殊改动，以实现360的部分商业利益。这些改动造成了360无法保持与谷歌Chrome的同步更新，甚至造成了有些漏洞Chrome已经修复，但是360浏览器中却仍然存在该漏洞的问题。

　　陈小兵表示，360浏览器功能已经日渐复杂，但360却未能及时修补这些谷歌已经修复的漏洞，随着今后360浏览器代码的不断膨胀，许多陈旧的Chrome浏览器漏洞可能已经在Chrome中修复，但是却仍然会存在在360浏览器中，长久不被发现，给用户上网构成为重大安全隐患。安全专家建议网民在访问网页时最好直接使用Google Chrome，特别是进行如银行转账和网络交易时，尽量使用新版IE浏览器、Firefox或Chrome浏览器以提高安全保证。