10月21日，奇安信安全團(tuán)隊(duì)連獲谷歌和Oracle官方致謝。谷歌官方發(fā)布補(bǔ)丁更新公告，修復(fù)了編號為CVE-2020-16002的高危漏洞，公開致謝奇安信代碼安全實(shí)驗(yàn)室。Oracle發(fā)布第四季度關(guān)鍵補(bǔ)丁更新公告，公開致謝奇安信A-TEAM團(tuán)隊(duì)發(fā)現(xiàn)并報(bào)告了CVE-2020-14841高危漏洞。

　　CVE-2020-16002高危漏洞描述

圖：谷歌官方致謝截圖

　　奇安信代碼安全實(shí)驗(yàn)室研究人員發(fā)現(xiàn)了谷歌一個(gè)高危漏洞(CVE-2020-16002)，第一時(shí)間向谷歌報(bào)告并協(xié)助其修復(fù)漏洞。CVE-2020-16002高危漏洞存在于Google Chrome媒體組件中，遠(yuǎn)程攻擊者可創(chuàng)建一個(gè)特殊構(gòu)造的Web頁面，誘騙受害者訪問該頁面，觸發(fā)釋放后使用錯(cuò)誤并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，從而遠(yuǎn)程攻陷易受攻擊的系統(tǒng)。目前，谷歌已解決這個(gè)漏洞問題，用戶應(yīng)盡快予以更新。

　　近期，奇安信代碼安全實(shí)驗(yàn)室研究人員還為谷歌 Chrome 的其它版本發(fā)現(xiàn)了一個(gè)高危的釋放后使用漏洞，目前該漏洞已修復(fù)。

　　奇安信代碼安全實(shí)驗(yàn)室專注于軟件源代碼安全分析技術(shù)、二進(jìn)制漏洞挖掘技術(shù)的研究與開發(fā)，實(shí)驗(yàn)室支撐國家級漏洞平臺的技術(shù)工作，多次向國家信息安全漏洞庫 (CNNVD)和國家信息安全漏洞共享平臺 (CNVD)報(bào)送原創(chuàng)通用型漏洞信息。同時(shí)，還幫助微軟、谷歌、蘋果、Cisco、Juniper、Oracle、Adobe、VMware、阿里云、華為、施耐德等大型廠商或機(jī)構(gòu)的產(chǎn)品發(fā)現(xiàn)了數(shù)百個(gè)安全漏洞。基于多年的技術(shù)積累，率先在國內(nèi)推出了自主可控的源代碼安全分析系統(tǒng)——奇安信代碼衛(wèi)士和奇安信開源衛(wèi)士。

　　CVE-2020-14841高危漏洞描述

圖：Oracle官方致謝截圖

　　奇安信A-TEAM團(tuán)隊(duì)研究人員發(fā)現(xiàn)了Oracle公司旗下產(chǎn)品的一個(gè)高危漏洞(CVE-2020-14841)第一時(shí)間向Oracle報(bào)告。CVE-2020-14841高危漏洞是Oracle WebLogic產(chǎn)品中存在的一個(gè)安全漏洞，受此漏洞影響的版本包括10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0，未經(jīng)身份驗(yàn)證的攻擊者可以通過IIOP網(wǎng)絡(luò)訪問WebLogic Server利用此漏洞，成功利用此漏洞的攻擊者可以接管當(dāng)前Oracle WebLogic Server。

　　奇安信A-TEAM 團(tuán)隊(duì)專注于網(wǎng)絡(luò)實(shí)戰(zhàn)攻擊研究、攻防安全研究、黑灰產(chǎn)對抗研究。早在Oracle第二季度關(guān)鍵補(bǔ)丁更新公告中，就被評為了“在線狀態(tài)安全性貢獻(xiàn)者”。A-TEAM 團(tuán)隊(duì)還曾多次率先提供Windows域、Exchange、Weblogic等重大安全問題的預(yù)警及可行的處置措施并獲得官方致謝。同時(shí)，A-TEAM 還是奇安信CERT的支撐團(tuán)隊(duì)，在Web滲透、互聯(lián)網(wǎng)底層協(xié)議分析、APT攻防對抗，前瞻性攻防工具預(yù)研等方面均積累了豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)。

　　奇安信集團(tuán)具備國內(nèi)領(lǐng)先的漏洞挖掘和分析能力，連續(xù)多年獲得CNVD優(yōu)秀技術(shù)支撐單位和特殊貢獻(xiàn)支撐單位榮譽(yù)，此次再獲兩大巨頭公開致謝，是奇安信漏洞挖掘能力再次在全球范圍內(nèi)被肯定。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系我們，本站將會在24小時(shí)內(nèi)處理完畢。