Chrome 报警：百度利用IE漏洞推广安装软件

作者：轻柔如画

---

内容：　　11月4日，知乎上有网友提问：百度是否存在利用浏览器漏洞向系统安装软件的行为？该问题发出后引发众多网友关注。原来该网友看到名为“科技在芯宇”的新浪微博网友详述百度利用网站漏洞，偷偷在用户电脑安装百度软件的步骤，便尝试用Chrome浏览器打开链接中提到的恶意网址地址，结果Chrome弹出“要访问的网站包含恶意软件”提示框。 　　[img]http://image16-c.poco.cn/mypoco/myphoto/20141205/12/5382065620141205122141086.gif?552x370_110[/img] 　　[b]图1： Chrome弹出“要访问的网站包含恶意软件”提示框[/b] 　　昨日微博网友“科技在芯宇”爆料，称自己在一家名为“80影档网”的百度影音联盟网站观看在线电影，电脑被自动安装了百度杀毒/卫士/输入法/浏览器等一些列百度旗下产品，经过分析，发现百度影音联盟网站利用IE浏览器漏洞，以挂马的方式偷偷在用户电脑运行“百度一键安装程序”（数字签名和服务器地址都是百度），并怒斥：杀毒软件竟然像病毒一样利用漏洞传播。 　　[img]http://image16-c.poco.cn/mypoco/myphoto/20141205/12/5382065620141205122159023.jpg?551x340_120[/img] 　　[b]图2：知乎网友怒揭百度利用漏洞流忙推广软件[/b] 　　同时该事件也得到了漏洞报告平台乌云的证实。据漏洞报告平台乌云昨晚23：56在其网站上公开了一个标题为“百度有钱联盟利用IE漏洞推广安装软件”的缺陷，缺陷编号为WooYun-2014-85575，危害等级为高，目前该缺陷状态仍然是“等待厂商处理”。 　　据悉，百度有钱推广使用的漏洞，在11月微软补丁日刚刚得到微软修复。但由于部分网民没有及时打补丁，再加上XP系统停止安全更新，此漏洞仍存在一定风险。业内人士指出，漏洞是木马病毒入侵的一个主要通道，黑客利用漏洞在网站挂马，一旦有人访问电脑就会自动下载运行病毒。 　　对于百度流忙行径，知乎网友“魔法训练营，机动狗”表示，这不是个问题，就是个事实。还有网友调侃，以前是中病毒的年代，现在是中杀毒软件的年代。而网友“王富贵”则直言，百度真是作死小能手，提醒各位不要在百度软件中心下载，不然会自动安装百度杀毒，敢在不要点熊脸吗，一款杀毒软件用这么下流的手法，反感透顶！ 　　想想一个知名互联网公司，却利用漏洞推广产品，这简直与传播病毒无异。对于这种强制安装的软件，知乎网友表示一定会强制删掉百度系所有软件，不让其称霸。