北京時間10月13日凌晨,微軟發(fā)布了10月份系統(tǒng)和產(chǎn)品補丁。
為了每年的天府杯挑戰(zhàn)賽發(fā)布“大補丸”,對于廠商來說已是常規(guī)操作。通常情況下,廠商會將手頭的漏洞盡量修補,以對抗可能在挑戰(zhàn)賽中攻破自己產(chǎn)品的選手們。因此,本月我們迎來了微軟包含修復多達71個漏洞的“補丁集合大禮包”,被修補漏洞的軟件,包括了對微軟Windows操作系統(tǒng)、微軟Edge、微軟Exchange郵件服務器和微軟Office等挑戰(zhàn)賽中的重點目標。
其中,微軟本月修復了CVE-2021-40449這個被卡巴斯基報告為“已經(jīng)被在野利用”的Windows內(nèi)核高危漏洞,“被在野利用”的漏洞,屬于值得關注的高危漏洞,通常意味著漏洞已經(jīng)被黑 客公開利用。 而另一個漏洞CVE-2021-26427也同樣值得關注。這是一個微軟Exchange郵件服務器的漏洞,雖然目前還未被利用,但是他的發(fā)現(xiàn)者則有些特別:美國國家安全局。我們在微軟的致謝報告里,也看到微軟感謝了來自“National Security Agency(NSA)”(美國國家安全局)的幫助。據(jù)公開媒體報道顯示,NSA被認為主導了全球黑 客攻擊和大規(guī)模非法監(jiān)聽,現(xiàn)在卻出現(xiàn)在微軟修復漏洞的感謝名單中,耐人尋味。
在此次微軟公布的致謝榜單上出現(xiàn)的,除了NSA,還有另外一股“力量” 更抓人眼球——來自中國的網(wǎng)絡安全新勢力,賽博昆侖科技旗下的 “昆侖實驗室”。在微軟的致謝榜單上我們可以看到,在本月,昆侖實驗室協(xié)助微軟修復了包括Windows內(nèi)核、微軟媒體播放組件、微軟Hyper-V虛擬化系統(tǒng)等在內(nèi)的微軟多個文件系統(tǒng)的一共七個漏洞,數(shù)量之多排在全球首位。
賽博昆侖是一家專注于提供零日漏洞獨 家防御能力的新一代網(wǎng)絡空間安全公司,在軟硬件與系統(tǒng)安全、云安全、安全攻防與對抗等領域,都有著豐富的經(jīng)驗和全球領 先的技術成果。旗下“昆侖實驗室”成員在桌面和移動終端系統(tǒng)、云計算和虛擬化平臺、IoT與物聯(lián)網(wǎng)設備、企業(yè)級軟件、服務器和企業(yè)設備等多個漏洞研究方向上,都有扎實的攻防能力和豐富的經(jīng)驗成果,技術實力已經(jīng)多次得到實戰(zhàn)驗證。事實上,自今年以來,除微軟外,賽博昆侖已協(xié)助蘋果、谷歌等全球巨頭連續(xù)發(fā)現(xiàn)并修復多起漏洞。
此前,蘋果公司iOS 15正式版全球更新。賽博昆侖“昆侖實驗室”因協(xié)助蘋果公司修復內(nèi)核高危漏洞(CVE-2021-30857),在更新說明中獲其致謝。另外,谷歌公司發(fā)布Chrome瀏覽器的93.0.4577.82桌面版本更新,著重修補了兩個被“在野”利用的Chrome零日漏洞CVE-2021-30632和CVE-2021-30633。這兩個被谷歌標記為“高危”的漏洞可以使攻擊者完全控制上網(wǎng)用戶的電腦,谷歌官方建議用戶盡快更新升級。而這兩個漏洞早在今年四月份就被賽博昆侖提前精準預測到,并為其產(chǎn)品用戶進行了針對性的提前保護。
作為一家今年剛剛創(chuàng)立的安全新軍,賽博昆侖已經(jīng)迅速得到了業(yè)內(nèi)外的普遍關注。而在接下來將要鳴鑼開戰(zhàn)的第四屆“天府杯”國際網(wǎng)絡安全大賽上,“昆侖實驗室”也將厲兵秣馬,派出最 強精英陣容參賽,屆時其將有怎樣的表現(xiàn),也十分為外界所期待。