遨游浏览器是在中国和欧洲地区颇受欢迎的浏览器,虽然市场占有率不是特别高但发布多年以来整体口碑还不错,不过随着移动互联网的崛起遨游浏览器似乎也将重点放在移动端,桌面平台版本的浏览器更新频率相对来说很低,比如有研究人员发现遨游浏览器桌面版存在高危漏洞,但直至今日遨游还停留在六月份的版本没有发布修复版本。
攻击者利用遨游绕过拦截机制:
研究人员发现遨游浏览器使用具有管理员权限的账户进行安装,但安装过后还会释放某个使用系统级权限的服务。
这个服务具有非常高的权限因此若存在漏洞会带来潜在危害,然而研究人员还真在这项服务里发现某个安全漏洞。
研究发现服务启动后会使用管理员权限运行并搜索某个不存在的文件,没人不知道遨游为什么要找不存在的文件。
但攻击者可以在特定位置放置同名的可执行的文件等待遨游服务加载,遨游不会去验证这个文件是否具有签名等。
更糟糕的是使用该服务加载的恶意程序会具有遨游数字签名,因此多数安全软件不会主动拦截该恶意软件的运行。
遨游迟迟没有修复漏洞:
研究人员早已将漏洞信息负责人的通报给遨游浏览器开发商,遗憾的是遨游浏览器当前尚未发布新版本进行修复。
时至今日遨游浏览器官方网站提供的最新版仍然存在安全漏洞,遨游官方表示经过修复的版本很快就会开始推送。
研究人员表示Windows版遨游浏览器v5.10~v5.27之间均受影响 , 遨游浏览器目前提供的最新版本就是v5.27版。
基于安全考虑建议使用遨游浏览器的用户暂时卸载该软件,待开发商发布新版本修复漏洞后再考虑重新安装使用。
蓝点网查询发现遨游浏览器iOS和安卓版更新非常频繁 , 而Windows桌面版的最新版还是2019年6月27日发布的。
看起来遨游浏览器现在也是专注为移动端用户提供服务,所以桌面版才会这么长时间还不发布新版本修复漏洞吧。
