网易科技 2月8日消息,昨日江民公司发布消息称,阿里巴巴支付宝ActiveX控件存在一处严重漏洞。随后支付宝公司否认漏洞的存在,并称用户使用支付宝正常,未发现任何安全隐患。
江民公司今日再次作出回应,称支付宝的这一漏洞的确存在,利用该漏洞,黑客可以编写恶意网页,如果用户计算机上安装过支付宝,在浏览黑客网页时就可能执行任意代码。并通过技术查证指出,在2月8日凌晨,支付宝已经对存在漏洞的程序进行了闪电升级,迅速修补好支付宝登录控件远程代码执行漏洞,并发布了新版本安装程序(下载地址:http://img.alipay.com/download/1009/aliedit.exe),但在官网https://www.alipay.com主页上没有发现任何关于这次修补的报告。技术人员介绍,从alipay.com服务器返回的信息看,支付宝新安装包最后修改日期是昨天下午6点半,上线日期是今天凌晨2点半。同时江民公司向公众发布了网上已有支付宝漏洞的详细代码分析以及演示视频资料,以证实漏洞的存在。(视频下载:http://daishuo.googlepages.com/alipay_0day.rar)
此前支付宝对外称,经过检测,支付宝安全控件不存在报道中描述的安全漏洞,目前用户使用支付宝正常,未发现任何安全隐患。
江民公司的新闻发言人曹凌翔对网易科技称,“我们不是为了说支付宝不好,而是为了证实我们公司对自己所发布的东西负责任,算是给大家一个交待,我们绝不会发布虚假新闻。”