谷歌發(fā)布8月安全公告 360再次發(fā)現(xiàn)高危漏洞獲致謝

責(zé)任編輯:editor007

2015-08-26 21:19:34

摘自:CCTIME飛象網(wǎng)

日前,谷歌發(fā)布了8月安全公告,批量修復(fù)了多個(gè)安全漏洞。其中,360安全研究員龔廣提交的安卓5 1及以下版本的本地提權(quán)高危漏洞也被確認(rèn)和修復(fù),并獲得了谷歌公開(kāi)致謝

日前,谷歌發(fā)布了8月安全公告,批量修復(fù)了多個(gè)安全漏洞。其中,360安全研究員龔廣提交的安卓5.1及以下版本的本地提權(quán)高危漏洞也被確認(rèn)和修復(fù),并獲得了谷歌公開(kāi)致謝,這也是360今年第二次收到谷歌致謝。

圖:谷歌致謝360安全研究員龔廣

根據(jù)谷歌的安全公告顯示,360此次發(fā)現(xiàn)的漏洞是一個(gè)本地提權(quán)漏洞,存在于安卓5.1及以下所有版本,一旦被成功利用,普通APP可以通過(guò)這個(gè)漏洞獲取一些危險(xiǎn)的系統(tǒng)權(quán)限,比如監(jiān)控?cái)z像頭、麥克風(fēng)等都有可能遭到惡意利用,用戶隱私受到嚴(yán)重威脅。該漏洞被谷歌評(píng)級(jí)為“高危”,并在公告中對(duì)360安全研究員龔廣表示了感謝。

龔廣發(fā)現(xiàn),當(dāng)處理其他應(yīng)用提供的數(shù)據(jù)時(shí),安卓系統(tǒng)的libstagefright存在一個(gè)潛在的整數(shù)溢出,這個(gè)溢出將導(dǎo)致內(nèi)存堆破壞,并可能導(dǎo)致以mediaserver進(jìn)程執(zhí)行任意代碼。這個(gè)漏洞能被用來(lái)獲取一些沒(méi)有被授予第三方應(yīng)用的權(quán)限,盡管mediaserver有SElinux的保護(hù),它依然可以訪問(wèn)音頻流、視頻流以及一些第三方應(yīng)用程序通常不能訪問(wèn)的特權(quán)內(nèi)核驅(qū)動(dòng)設(shè)備節(jié)點(diǎn)。

據(jù)了解,這已不是360首次發(fā)現(xiàn)安卓漏洞并獲得谷歌官方公開(kāi)致謝。早在今年3月,360手機(jī)衛(wèi)士安全研究員龔廣就發(fā)現(xiàn)了谷歌Android存在的7個(gè)漏洞。在經(jīng)過(guò)谷歌官方確認(rèn)后,特向360手機(jī)安全團(tuán)隊(duì)致謝。

一直以來(lái),安卓系統(tǒng)由于強(qiáng)調(diào)開(kāi)放性,在安全防護(hù)方面有先天不足。谷歌對(duì)安卓的安全也越來(lái)越重視,今年6月,谷歌專門(mén)針對(duì)安卓啟動(dòng)了一個(gè)名為AndroidSecurityRewards的安全獎(jiǎng)勵(lì)項(xiàng)目,重金征集漏洞。

不過(guò),由于漏洞挖掘的門(mén)檻比較高,在流行系統(tǒng)和軟件上與全球黑客競(jìng)速挖出新漏洞,已經(jīng)難上加難,漏洞挖掘能力也因此成為判斷一個(gè)安全團(tuán)隊(duì)技術(shù)實(shí)力的重要指標(biāo),360已經(jīng)憑借自身實(shí)力成為各大巨頭漏洞致謝榜上異軍突起的骨干力量。

除了谷歌之外,360因發(fā)現(xiàn)并協(xié)助修復(fù)漏洞還獲得來(lái)了微軟、蘋(píng)果、Adobe等巨頭的致謝。8月14日,360安全團(tuán)隊(duì)向蘋(píng)果提交的兩個(gè)漏洞也被確認(rèn)并修復(fù),并獲得蘋(píng)果公開(kāi)致謝;當(dāng)日,Adobe的官網(wǎng)公告中,也向本月發(fā)現(xiàn)和報(bào)告了3個(gè)Flash漏洞的360VulcanTeam公開(kāi)致謝,360VulcanTeam也是此次獲得Adobe致謝數(shù)量最多的中國(guó)安全團(tuán)隊(duì);而自2009年以來(lái),360已累計(jì)86次獲微軟安全公告致謝,在全球安全軟件廠商中排名首位。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)