域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

日前，谷歌發(fā)布了8月安全公告，批量修復(fù)了多個(gè)安全漏洞。其中，360安全研究員龔廣提交的安卓5.1及以下版本的本地提權(quán)高危漏洞也被確認(rèn)和修復(fù)，并獲得了谷歌公開(kāi)致謝，這也是360今年第二次收到谷歌致謝。

圖：谷歌致謝360安全研究員龔廣

根據(jù)谷歌的安全公告顯示，360此次發(fā)現(xiàn)的漏洞是一個(gè)本地提權(quán)漏洞，存在于安卓5.1及以下所有版本，一旦被成功利用，普通APP可以通過(guò)這個(gè)漏洞獲取一些危險(xiǎn)的系統(tǒng)權(quán)限，比如監(jiān)控?cái)z像頭、麥克風(fēng)等都有可能遭到惡意利用，用戶隱私受到嚴(yán)重威脅。該漏洞被谷歌評(píng)級(jí)為“高危”，并在公告中對(duì)360安全研究員龔廣表示了感謝。

龔廣發(fā)現(xiàn)，當(dāng)處理其他應(yīng)用提供的數(shù)據(jù)時(shí)，安卓系統(tǒng)的libstagefright存在一個(gè)潛在的整數(shù)溢出，這個(gè)溢出將導(dǎo)致內(nèi)存堆破壞，并可能導(dǎo)致以mediaserver進(jìn)程執(zhí)行任意代碼。這個(gè)漏洞能被用來(lái)獲取一些沒(méi)有被授予第三方應(yīng)用的權(quán)限，盡管mediaserver有SElinux的保護(hù)，它依然可以訪問(wèn)音頻流、視頻流以及一些第三方應(yīng)用程序通常不能訪問(wèn)的特權(quán)內(nèi)核驅(qū)動(dòng)設(shè)備節(jié)點(diǎn)。

據(jù)了解，這已不是360首次發(fā)現(xiàn)安卓漏洞并獲得谷歌官方公開(kāi)致謝。早在今年3月，360手機(jī)衛(wèi)士安全研究員龔廣就發(fā)現(xiàn)了谷歌Android存在的7個(gè)漏洞。在經(jīng)過(guò)谷歌官方確認(rèn)后，特向360手機(jī)安全團(tuán)隊(duì)致謝。

一直以來(lái)，安卓系統(tǒng)由于強(qiáng)調(diào)開(kāi)放性，在安全防護(hù)方面有先天不足。谷歌對(duì)安卓的安全也越來(lái)越重視，今年6月，谷歌專門針對(duì)安卓啟動(dòng)了一個(gè)名為Android Security Rewards的安全獎(jiǎng)勵(lì)項(xiàng)目，重金征集漏洞。

不過(guò)，由于漏洞挖掘的門檻比較高，在流行系統(tǒng)和軟件上與全球黑客競(jìng)速挖出新漏洞，已經(jīng)難上加難，漏洞挖掘能力也因此成為判斷一個(gè)安全團(tuán)隊(duì)技術(shù)實(shí)力的重要指標(biāo)，360已經(jīng)憑借自身實(shí)力成為各大巨頭漏洞致謝榜上異軍突起的骨干力量。

除了谷歌之外，360因發(fā)現(xiàn)并協(xié)助修復(fù)漏洞還獲得來(lái)了微軟、蘋果、Adobe等巨頭的致謝。8月14日，360安全團(tuán)隊(duì)向蘋果提交的兩個(gè)漏洞也被確認(rèn)并修復(fù)，并獲得蘋果公開(kāi)致謝;當(dāng)日，Adobe的官網(wǎng)公告中，也向本月發(fā)現(xiàn)和報(bào)告了3個(gè)Flash漏洞的360Vulcan Team公開(kāi)致謝，360Vulcan Team也是此次獲得Adobe致謝數(shù)量最多的中國(guó)安全團(tuán)隊(duì);而自2009年以來(lái)，360已累計(jì)68次獲微軟安全公告致謝，在全球安全軟件廠商中排名首位。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！