10月13日,金山发布名为《360两款产品爆出重大安全漏洞 至今尚未修复》的文章,文中称“SoftupNotify.exe(360软件管家)和360nzp.exe(360杀毒)这两个组件都存在dll劫持漏洞,至今尚未修复”。对此,360严正声明如下:
一、早在今年5月,首先曝出dll劫持漏洞的安全软件恰恰是金山旗下的金山网盾,而且其最新版本至今仍未修复(参考附件1及附件2)。当国内刚刚出现利用金山网盾漏洞的“金锁”木马时,360立即对全线产品进行了严格的自检测试,并且在24小时内就修复了所有dll劫持漏洞、48小时内提示全网用户升级到修复漏洞的版本,其中就包括金山公司宣称的“SoftupNotify.exe(360软件管家)和360nzp.exe(360杀毒)存在的漏洞”。截至2010年5月20日,360安全软件早已完全修复了dll劫持漏洞(参考附件3)。金山故意歪曲事实,无疑是想通过抹黑恐吓、误导360的用户。
二、dll劫持漏洞是一个今年频繁出现的安全威胁,存在于Windows操作系统和上百款应用软件中,包括Adobe Photoshop、Microsoft Office、Firefox、Opera等。当软件运行时,如果没有校验其加载的dll文件的安全性,则可能会被木马利用,加载运行由木马伪装的dll文件。为了彻底修复这类漏洞,360安全卫士、360杀毒等产品在今年5月以后的版本,全部对加载的dll文件进行了数字签名验证。同时,360木马防火墙也早已针对dll劫持漏洞攻击升级了拦截规则,可以彻底拦截利用此类漏洞的“金锁”木马等恶意程序,广大360用户完全可以对此放心。
三、金山公司视安全为儿戏,对自己的用户极其不负责任。今年5月24日,国内诸多网媒报道了《金山网盾被木马攻破 用户怨声载道》的新闻。此后,瑞星公司也发布了金山网盾dll加载漏洞被木马利用的公告,并将其命名为“无间”木马(360命名:“金锁”木马)。最近5个月内,已有上百万网民电脑遭到此木马攻击,几乎每天近1万台。更可怕的是,金山网盾漏洞可以被任意类型的木马病毒利用,如肉鸡控制木马、网银木马、QQ盗号木马等等。根据360工程师对金山网盾官网最新版本(版本号3.63 更新时间:2010.08.27)的检测,该漏洞依然存在。在这么长时间内,金山公司既不修复漏洞,也不向用户通报情况,放任黑客肆意攻击自己的用户电脑!
四、我们奉劝金山公司,不要把抹黑360当成主业,真正该做的是踏踏实实提升产品功能、出现漏洞就及时修复。历数今年以来金山公司曝出的安全丑闻:AV-C评测病毒查杀率历次“倒数第一”却鼓吹成“全球第一”、VB100历次评测要么通不过要么成绩大多垫底、被南北打假名人王海和徐大江在全国多地法院起诉、金山网盾出现高危内核提权漏洞却予以否认、直到被中美俄数十家安全机构曝光……这些,无一不是金山自身产品质量造成的问题,难道,产品上不改进、造假新闻抹黑360就能提升自己、保护用户了?难道,一家长期自诩为“中国民族软件骄傲”、拿着政府拨款、以网络游戏为主要收入的香港上市公司,依靠在日本免费却对中国人收费、作伪证、造假新闻打击竞争对手,就能发展成为一家令人尊敬的伟大公司?
五、这次事件的起因,归根结底还是因为360杀毒免费,造成金山毒霸的收入直线下滑。根据艾瑞统计,在360杀毒正式版发布前(2009年10月),金山毒霸的市场份额达到近年来最高的14.39%;此后,金山毒霸则一路滑坡,目前每天的覆盖率仅为大约4.99%,大幅缩水了三分之二。如果金山公司还沉浸在收费杀毒软件的暴利时代,不愿正视互联网免费商业模式的颠覆式创新力量,如此漠视自己用户的安危与利益,却将希望寄托在每天挖空心思诋毁抹黑同行上,那么,金山的未来可想而知。因此,为了“金山”这个品牌、为了所有目前还信任金山的用户,为了金山全体员工的前程,我们强烈建议金山公司,做好产品,服务好用户,尽快向互联网商业模式转型,而不要一味把精力、资源放在无休止的公关口水仗中。
360安全中心