12月8日消息,漏洞报告平台乌云昨晚18:48分在其网站公开了“百度有钱联盟利用IE漏洞推广安装软件”漏洞的细节,乌云网站显示,该漏洞12月3日提供给百度但是百度忽略了该漏洞,因此按照流程,乌云于昨晚对外正式公开了该漏洞的细节。
12月3日23:56乌云在其网站上公开了一个标题为“百度有钱联盟利用IE漏洞推广安装软件”的缺陷,缺陷编号为WooYun-2014-85575,危害等级为高。在该漏洞提交给百度后,百度称该行为是百度渠道商行为,并忽略了该漏洞。
因此乌云于昨晚正式对外公布了该漏洞细节。乌云网站描述称:“女盆友要看片,找啊找的就找到家影音站,然后电脑咻的自动装上了百度杀毒/卫士/浏览器/输入法一家子。安装包来自百度有钱联盟,144MB啊亲,电脑快卡死了有没有。”
“在费很大气把电脑救活之后,在一堆浏览器的历史记录找到了这个链接
通过查看页面源代码,可以看到嵌入了如下代码:
再查看的全文代码,会发现这个页面会跳转,最终通过该页面,下载并自动执行,没错,来自百度有钱联盟的144MB的安装包。“
乌云网站还公开了两份该漏洞的证据,证明该漏洞来自百度有钱联盟,并使用了百度数字证书,下载链接也指向了百度官方软件下载包。
最近几天卡饭等专业论坛以及新浪微博也有多位网友曝光,在访问百度影音联盟网站时,电脑自动下载运行了百度杀毒、百度卫士、百度浏览器和百度输入法等一系列百度软件。
安全专家称,漏洞是木马病毒入侵的一个主要通道,黑客利用漏洞在网站挂马,一旦有人访问电脑就会自动下载运行病毒,这原本是一种病毒行为,百度有钱联盟却以此方式来推广软件,采用的就是病毒方式。
虽然百度回应称此为渠道行为,但百度百科很清楚地显示:“百度有钱联盟属于百度旗下线下推广平台,致力于帮助合作伙伴推广自身品牌和产品,同时为推广客户提供丰厚回报。目前上线的产品有,百度杀毒, 百度卫士,百度浏览器等,后续还会有更多的百度产品上线。”百度有钱联盟就是百度旗下平台。
