当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042067

漏洞标题:搜狗重大安全漏洞可直接登陆数千账户

相关厂商:搜狗

漏洞作者: admin1993

提交时间:2013-11-05 15:59

修复时间:2013-11-05 19:34

公开时间:2013-11-05 19:34

漏洞类型:网络敏感信息泄漏

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-05: 细节已通知厂商并且等待厂商处理中
2013-11-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某论坛看到的 这是真的吗???

详细说明:

求证实

漏洞证明:

一直使用搜狗浏览器,最近更新了4.2新版,登录慢多了,折腾了几下居然发现搜狗浏览器一个大漏洞!
用QQ帐号登录搜狗,快速点几下退出,等几分钟,搜狗浏览器就自动下载居多的密码自动填表、收藏夹、网页更新提醒下来,收藏夹里都不是我保存的内容!
保存的几千个网站密码也都不是我的!看了智能填表里保存的网站密码,有淘宝的、微博的、网易和QQ邮箱的、各种学校教务处的、随便点一个进去直接就记住密码进去到别人的淘宝帐号去了,直接可以买东西啊有木有!有图有真相!
先用QQ 帐号登录!必须用QQ账号登陆搜狗网络账号才行

1.jpg


乱操作几下,等几分钟,打开工具->智能填表->管理表单数据
各种用户名密码全都出来了啊,估计至少有好几千个

2.png


随便选一个,直接 就出来密码了

3.png


接着就登陆进去了。。。

4.jpg


各种邮箱

5.png


收藏夹里也多出一堆别人的收藏夹

6.jpg


看起来是搜狗浏览器把一堆别人保存的用户名密码,还有收藏夹之类的东西都同步到我的机器上了。
不会分析,哪位大神给分析下是什么原因啊,是不是搜狗的服务器出问题了啊,存了这多用户的密码泄漏了就太悲剧了啊。
我找了半天,终于发现了点线索:
在c:\document and settings\administrator\application data\sogouexplorer下面被更新了好大的文件啊,我看以前这里的文件都很小,看来是同步了那么多别人的数据就在这里了啊

7.png

修复方案:

null

版权声明:转载请注明来源 admin1993@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-11-05 19:34

厂商回复:

感谢您对搜狗的关注与支持,针对此现象,搜狗浏览器技术团队已进行了调查核实,经过查证,我们没有发现所谓的重大安全漏洞,更没有大量用户隐私被泄露的情况发生。我们已在新浪微博搜狗官微发布了《捍卫用户利益及互联网精神 搜狗致用户书》进行了详细说明。

最新状态:

暂无