域名預(yù)訂/競價，好“米”不錯過

日前，谷歌發(fā)布了8月安全公告，批量修復(fù)了多個安全漏洞。其中，360安全研究員龔廣提交的安卓5.1及以下版本的本地提權(quán)高危漏洞也被確認(rèn)和修復(fù)，并獲得了谷歌公開致謝，這也是360今年第二次收到谷歌致謝。

圖：谷歌致謝360安全研究員龔廣

根據(jù)谷歌的安全公告顯示，360此次發(fā)現(xiàn)的漏洞是一個本地提權(quán)漏洞，存在于安卓5.1及以下所有版本，一旦被成功利用，普通APP可以通過這個漏洞獲取一些危險的系統(tǒng)權(quán)限，比如監(jiān)控攝像頭、麥克風(fēng)等都有可能遭到惡意利用，用戶隱私受到嚴(yán)重威脅。該漏洞被谷歌評級為“高危”，并在公告中對360安全研究員龔廣表示了感謝。

龔廣發(fā)現(xiàn)，當(dāng)處理其他應(yīng)用提供的數(shù)據(jù)時，安卓系統(tǒng)的libstagefright存在一個潛在的整數(shù)溢出，這個溢出將導(dǎo)致內(nèi)存堆破壞，并可能導(dǎo)致以mediaserver進(jìn)程執(zhí)行任意代碼。這個漏洞能被用來獲取一些沒有被授予第三方應(yīng)用的權(quán)限，盡管mediaserver有SElinux的保護(hù)，它依然可以訪問音頻流、視頻流以及一些第三方應(yīng)用程序通常不能訪問的特權(quán)內(nèi)核驅(qū)動設(shè)備節(jié)點。

據(jù)了解，這已不是360首次發(fā)現(xiàn)安卓漏洞并獲得谷歌官方公開致謝。早在今年3月，360手機(jī)衛(wèi)士安全研究員龔廣就發(fā)現(xiàn)了谷歌Android存在的7個漏洞。在經(jīng)過谷歌官方確認(rèn)后，特向360手機(jī)安全團(tuán)隊致謝。

一直以來，安卓系統(tǒng)由于強(qiáng)調(diào)開放性，在安全防護(hù)方面有先天不足。谷歌對安卓的安全也越來越重視，今年6月，谷歌專門針對安卓啟動了一個名為Android Security Rewards的安全獎勵項目，重金征集漏洞。

不過，由于漏洞挖掘的門檻比較高，在流行系統(tǒng)和軟件上與全球黑客競速挖出新漏洞，已經(jīng)難上加難，漏洞挖掘能力也因此成為判斷一個安全團(tuán)隊技術(shù)實力的重要指標(biāo)，360已經(jīng)憑借自身實力成為各大巨頭漏洞致謝榜上異軍突起的骨干力量。

除了谷歌之外，360因發(fā)現(xiàn)并協(xié)助修復(fù)漏洞還獲得來了微軟、蘋果、Adobe等巨頭的致謝。8月14日，360安全團(tuán)隊向蘋果提交的兩個漏洞也被確認(rèn)并修復(fù)，并獲得蘋果公開致謝;當(dāng)日，Adobe的官網(wǎng)公告中，也向本月發(fā)現(xiàn)和報告了3個Flash漏洞的360Vulcan Team公開致謝，360Vulcan Team也是此次獲得Adobe致謝數(shù)量最多的中國安全團(tuán)隊;而自2009年以來，360已累計68次獲微軟安全公告致謝，在全球安全軟件廠商中排名首位。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！