入圍安全界奧斯卡!360斬獲The Pwnie Awards“史詩級成就”等三大提名!

SLLAQZX發表於2021-08-03

美國時間7月28日,被稱作全球“安全界奧斯卡”的Pwnie Awards公佈了2021年最新獎項提名。360漏洞研究院一共獲得3項提名——先是憑藉“颶風山竹漏洞鏈”和組合中的提權漏洞入圍“史詩級成就”和“最佳提權漏洞”候選名單,再以“沙盒提權漏洞”拿下另一個“最佳提權漏洞”提名。


入圍安全界奧斯卡!360斬獲The Pwnie Awards“史詩級成就”等三大提名!

“史詩級成就”提名)

入圍安全界奧斯卡!360斬獲The Pwnie Awards“史詩級成就”等三大提名!

“最佳提權漏洞”提名)

 

入圍安全界奧斯卡!360斬獲The Pwnie Awards“史詩級成就”等三大提名!

“最佳提權漏洞”提名)

 

Pwnie Awards官網公佈的入圍情況來看,360漏洞研究院所挖掘的“颶風山竹”漏洞鏈,同時獲得“史詩級成就”和“最佳提權漏洞”兩項獎項提名。根360漏洞研究院提交的報告,“颶風山竹”利用鏈中用到了兩枚漏洞,一枚是Binder漏洞(CVE-2020-0423),一枚是瀏覽器漏洞(CVE-2020-6537),僅靠這兩枚漏洞便可以組合出整條利用鏈。該利用鏈首次實現了針對谷歌旗艦機型Pixel 4的一鍵遠端ROOT。安卓機型擁有大量的定製開發版本,但由於利用鏈中所用Binder漏洞的特點,該利用鏈一旦被攻擊者掌握並加以利用便可在短時間內攻破大量的安卓手機,具備實現大規模遠端通殺root的潛力。該項研究成果也因其廣泛的影響力登上了2020年穀歌安全獎勵計劃年報。“颶風山竹”利用鏈中所用的這枚Binder漏洞(CVE-2020-0423)將沙箱逃逸、root、通殺這幾大屬性融為一體,更是實現了僅觸發一次漏洞就能獲得穩定的任意地址讀寫元語,其影響範圍包括但不限於android 9/10/11,因其強大的影響力也獨立獲得了“最佳提權漏洞”提名。

 

除此以外,此次入圍“最佳提權漏洞”的“沙盒提權漏洞” (CVE-2021-1648),其包括三個漏洞,任意地址讀取資訊洩露,任意堆地址讀資訊洩露和任意堆地址寫許可權提升,組合起來可以實現對IE沙盒內的提權,該漏洞實現了對IE瀏覽器沙箱的突破,可以在IE沙盒內以高許可權執行程式碼。

入圍安全界奧斯卡!360斬獲The Pwnie Awards“史詩級成就”等三大提名!

“The Pwnie Awards”大獎,作為一項殿堂級的榮耀,任何安全研究員被成功提名已是實力的象徵。尤其是今年的篩選條件依然嚴苛,獎項評選由來自全球最權威的安全研究專家擔任評委,需依據從2020年12月1日至2021年7月17日釋出的漏洞,並且該漏洞在相應類別中排名前列(一般為前五名),才能獲得入圍候選資格。

 

去年,360 Alpha Lab已經憑藉震驚業界的“梯雲縱”漏洞鏈,一舉斬獲The Pwnie Awards 2020“史詩級成就”。這也是中國歷史上首個“史詩級成就”,來自中國安全研究員14年來首次摘下這顆璀璨明珠。今年,Pwnie Awards入圍榜單新鮮出爐,360再度以捍衛東半球最強白帽子軍團的榮譽為使命,以多枚極具研究價值的漏洞,向全球網路安全的至高榮譽發起新的一輪衝擊。

 

數字化時代的全面來臨,全球網路空間正面臨前所未有的漏洞威脅挑戰,作為數字經濟的守護者,360政企安全集團將持續加強在漏洞安全研究方面的投入和鍛造,以360漏洞研究院為代表的360安全專家團隊,將在數字化時代的帷幕之下,持續輸出強勁的漏洞挖掘能力和安全守護力量,維護網路空間安全,發揮磐石般的作用。




相關文章