乌云公开百度利用IE漏洞推广软件漏洞细节
2014-12-08 14:14:37   来源：   评论：0 点击：

　　12月8日消息，漏洞报告平台乌云昨晚18：48分在其网站公开了“百度有钱联盟利用IE漏洞推广安装软件”漏洞的细节，乌云网站显示，该漏洞12月3日提供给百度但是百度忽略了该漏洞，因此按照流程，乌云于昨晚对外正式公开了该漏洞的细节。

　　12月3日23：56乌云在其网站上公开了一个标题为“百度有钱联盟利用IE漏洞推广安装软件”的缺陷，缺陷编号为WooYun-2014-85575，危害等级为高。在该漏洞提交给百度后，百度称该行为是百度渠道商行为，并忽略了该漏洞。

　　因此乌云于昨晚正式对外公布了该漏洞细节。乌云网站描述称：“女盆友要看片，找啊找的就找到家影音站，然后电脑咻的自动装上了百度杀毒/卫士/浏览器/输入法一家子。安装包来自百度有钱联盟，144MB啊亲，电脑快卡死了有没有。”

　　“在费很大气把电脑救活之后，在一堆浏览器的历史记录找到了这个链接

　　通过查看页面源代码，可以看到嵌入了如下代码：

　　再查看的全文代码，会发现这个页面会跳转，最终通过该页面，下载并自动执行，没错，来自百度有钱联盟的144MB的安装包。“

　　乌云网站还公开了两份该漏洞的证据，证明该漏洞来自百度有钱联盟，并使用了百度数字证书，下载链接也指向了百度官方软件下载包。

　　最近几天卡饭等专业论坛以及新浪微博也有多位网友曝光，在访问百度影音联盟网站时，电脑自动下载运行了百度杀毒、百度卫士、百度浏览器和百度输入法等一系列百度软件。

　　安全专家称，漏洞是木马病毒入侵的一个主要通道，黑客利用漏洞在网站挂马，一旦有人访问电脑就会自动下载运行病毒，这原本是一种病毒行为，百度有钱联盟却以此方式来推广软件，采用的就是病毒方式。

　　虽然百度回应称此为渠道行为，但百度百科很清楚地显示：“百度有钱联盟属于百度旗下线下推广平台，致力于帮助合作伙伴推广自身品牌和产品,同时为推广客户提供丰厚回报。目前上线的产品有,百度杀毒, 百度卫士,百度浏览器等,后续还会有更多的百度产品上线。”百度有钱联盟就是百度旗下平台。