360获谷歌、微软、Adobe“开年首发”致谢,16年挖掘超3000个高质量CVEs
2022-01-14
新年伊始,多家知名厂商如期发布本年度的第一轮安全致谢,360政企安全集团凭借帮助厂商发现6个安全漏洞并积极协助修复,因此获得谷歌、微软、Adobe三大厂商的接连公开致谢。
首先,360政企安全集团接到了来自谷歌的官方致谢。一月初谷歌Chrome率先发布安全更新,这也是2022年各大主流厂商中的首份开年致谢。此份公告中,谷歌共计修复了多达37个安全漏洞,其中一个安全漏洞最为严重,并被谷歌官方唯一评为Critical等级。此漏洞编号为CVE-2022-0096,由360安全研究员独家发现,鉴于漏洞可能具有的破坏性影响,从破坏有效数据到在受感染机器上执行恶意代码,因此360安全专家在挖掘漏洞后的第一时间,积极提交相关监管单位及谷歌官方协助产品修复,守护广大浏览器用户安全。
接着,微软也向360政企安全集团发出了新年首个官方致谢。在1月11日微软的例行安全更新中,公开致谢了360漏洞研究院贡献的两枚CVEs,漏洞编号分别为CVE-2022-21916、CVE-2022-21897。这两个漏洞均属于Windows内核层面的漏洞,不法攻击者通过漏洞利用可以获取系统的最高权限,从而完全控制受害目标操作系统。
此外,360政企安全集团又登上了Adobe的新年首发致谢公告,360安全团队共为Adobe产品提交了3份漏洞报告。值得关注的是,其中一个漏洞是360漏洞研究院在2021年“天府杯”大赛中用来攻破Adobe PDF Reader的漏洞(CVE-2021-44707)。利用该Adobe reader软件漏洞,用户在使用reader时一旦不小心打开了被恶意构造的PDF文档,攻击者便可实现任意代码执行,包括窃取用户信息、下载木马等。也正因为成功破解该项目,成就了360在“天府杯”Adobe PDF reader项目上的“三连胜”记录。
每一份如期而至的安全致谢,不仅意味着厂商对安全团队作出的表彰和激励,也意味着每一位安全研究员卓越的漏洞挖掘技术,以及高度的社会责任感。
作为数字安全的领导者,360政企安全集团经过十余年安全行业的深耕积累,早已锻造出世界级漏洞挖掘与攻防对抗能力。360漏洞研究院院长龚广表示,至今为止,360安全团队累计挖掘主流厂商CVEs漏洞超过3000个,是全球获高质量漏洞致谢次数最多的安全厂商,其中包括:
发现“穿云箭”系列漏洞,斩获谷歌ASR项目最高奖金;挖掘“梯云纵”漏洞,不仅打破谷歌VRP计划史上最高奖金纪录,还夺得中国历史首个The Pwnie Awards“史诗级成就”大奖;赢得数十次Pwn2Own、天府杯等世界黑客大赛单项冠军;并多次受邀在BlackHat、USENIX、Defcon、CanSecWest、HITB、CodeBlue、PacSec、HITCON等国内外知名安全会议上发表议题演讲,其研究成果和技术能力在全球范围内受到广泛认可。
未来,360政企安全集团将载誉前行,持续加大在漏洞领域的投入,进一步加强顶级安全人才的招募和培养,不断激励漏洞研究团队提升技术水平,始终捍卫领跑全球的“挖洞”实力。