近日網(wǎng)絡(luò)上有消息稱(chēng)，搜狗瀏覽器高速內(nèi)核存在“緩沖區(qū)溢出漏洞”。經(jīng)調(diào)查，我們特說(shuō)明如下：

1.搜狗未證實(shí)此漏洞，但已經(jīng)按照預(yù)案升級(jí)。

搜狗瀏覽器早前版本的高速引擎用的是谷歌研發(fā)的Chromium 6.0內(nèi)核，與谷歌瀏覽器的同內(nèi)核版本一致。我們進(jìn)行分析并聯(lián)系了谷歌公司的工程師，均無(wú)法證實(shí)該消息所指漏洞。但本著為用戶(hù)負(fù)責(zé)的態(tài)度，我們已按預(yù)案于11月29日將搜狗瀏覽器升級(jí)為3.1版本，該版本采用了新版的Chromium 14.0內(nèi)核，以提升安全等級(jí)。軟件業(yè)有一個(gè)常識(shí)：軟件是不可避免有漏洞的，處于不斷修補(bǔ)和升級(jí)的過(guò)程。各種桌面軟件，包括微軟IE、谷歌瀏覽器、火狐瀏覽器都存在漏洞，慣例是通過(guò)升級(jí)或補(bǔ)丁解決。以2011年為例，微軟公司與安全漏洞相關(guān)的產(chǎn)品升級(jí)（Windows Update）已達(dá)一百多次；而上網(wǎng)常用的Flash軟件，今年已公布12次嚴(yán)重安全漏洞，這些漏洞會(huì)影響各種使用Flash插件的瀏覽器（包括號(hào)稱(chēng)安全的360安全瀏覽器）。發(fā)現(xiàn)和修補(bǔ)漏洞是一種軟件行業(yè)的常態(tài)。

2. 有證據(jù)表明，“爆料”存在明顯的人為操縱痕跡，涉嫌不正當(dāng)競(jìng)爭(zhēng)。

該消息最早出現(xiàn)在一個(gè)叫Sysinternals的國(guó)外技術(shù)論壇，論壇賬號(hào)“huntvulnerable” 于11月13日注冊(cè)，第二天就“爆料”。一個(gè)技術(shù)人員專(zhuān)程到國(guó)外小網(wǎng)站上去指名道姓討論中國(guó)瀏覽器實(shí)屬罕見(jiàn)。按照常理，如果他是外國(guó)人，更可能關(guān)注擁有同樣內(nèi)核和潛在漏洞的谷歌瀏覽器；如果他是中國(guó)人，也沒(méi)有必要臨時(shí)注冊(cè)賬號(hào)發(fā)到國(guó)外論壇再讓媒體“出口轉(zhuǎn)內(nèi)銷(xiāo)”，并拒不接受搜狗主動(dòng)詢(xún)問(wèn)。該爆料還聲稱(chēng)搜狗瀏覽器的之前版本也存在此漏洞，說(shuō)明“他”在持續(xù)“關(guān)注”搜狗瀏覽器。從該消息的整個(gè)生產(chǎn)過(guò)程到媒體散布路徑，充滿了人為操縱痕跡，完全符合之前國(guó)內(nèi)某些互聯(lián)網(wǎng)公司不正當(dāng)競(jìng)爭(zhēng)中的惡劣手法。

3.為保護(hù)用戶(hù)利益，發(fā)現(xiàn)漏洞后通知廠商是行業(yè)操守，修補(bǔ)系統(tǒng)則是安全廠商義務(wù)。

因?yàn)槊總�(gè)軟件都避免不了漏洞，所以全世界軟件廠商、從業(yè)人員(包括有良知的黑客)都一直遵守共同的價(jià)值觀：以保密方式及時(shí)通知相關(guān)廠商，以便進(jìn)行升級(jí)或修補(bǔ)，保護(hù)用戶(hù)的利益。這是軟件行業(yè)的通行做法，更是安全廠商的義務(wù)。以谷歌瀏覽器為例，發(fā)現(xiàn)漏洞后谷歌只會(huì)透露Bug號(hào)而從不提漏洞具體內(nèi)容。但該爆料漏洞的消息一不通知谷歌、二不通知搜狗，并且一直不回復(fù)搜狗的主動(dòng)詢(xún)問(wèn)，卻選擇了通過(guò)國(guó)內(nèi)媒體和微博大肆散布，甚至故意流出演示如何攻擊用戶(hù)的視頻。無(wú)論是否真的存在所謂漏洞，我們對(duì)這種不良行為表示遺憾。

4. 呼吁360等安全廠商履行正面義務(wù)，協(xié)助分析證實(shí)是否存在該潛在漏洞。

我們從可靠渠道獲悉：奇虎360公司部分員工在數(shù)周前曾私下表示，通過(guò)研究谷歌瀏覽器和搜狗瀏覽器，已經(jīng)掌握和重現(xiàn)了可能存在的漏洞。另外，前谷歌瀏覽器開(kāi)發(fā)團(tuán)隊(duì)的某資深工程師已于6月加盟奇虎360。而搜狗瀏覽器和谷歌瀏覽器均采用了谷歌研發(fā)的Chromium內(nèi)核，谷歌瀏覽器開(kāi)發(fā)團(tuán)隊(duì)的核心成員最有機(jī)會(huì)了解該內(nèi)核的漏洞。我們呼吁，360等廠商應(yīng)該履行安全廠商的基本義務(wù)：若漏洞存在，應(yīng)以正當(dāng)方式通知搜狗，采取措施控制漏洞的可能泄露，向廣大網(wǎng)民擔(dān)負(fù)起責(zé)任。

我們真誠(chéng)地希望：大家以科學(xué)心、平常心去看待每一款軟件，相信全球業(yè)界通行數(shù)十年的產(chǎn)業(yè)規(guī)律和共同價(jià)值觀。
這是一個(gè)開(kāi)放、擔(dān)當(dāng)、共贏的偉大互聯(lián)網(wǎng)時(shí)代，用戶(hù)應(yīng)該擁有免于恐懼的自由。只有相信文明，我們才能真正得到文明。

搜狗瀏覽器開(kāi)發(fā)小組

2011年12月1日