基于这一致谢,360 成为信创领域首家获得厂商官方致谢的安全公司。
近日,统信安全应急响应中心(USRC)发布最新安全公告,公开致谢 360 Alpha Lab 发现并提交两份关于统信 UOS 操作系统的漏洞报告,基于这一致谢,360 成为信创领域首家获得厂商官方致谢的安全公司。
致谢原文
根据报告,360 Alpha Lab 所发现的两枚 UOS 本地 ROOT 提权漏洞和任意字符串漏洞,可让攻击者在未授权下获取系统级别权限并发起任意攻击。目前,统信安全响应中心(USRC)已对漏洞进行了修复和更新,作为幕后功臣的 360 安全大脑以自身安全能力赋能信创领域,为信创产业加速发展保驾护航。
国产系统漏洞「威胁信号」闪现
UOS官方首次发布重磅漏洞致谢
对于任何操作系统而言,漏洞往往代表着安全风险,而国产操作系统率先进入关键基础设施等敏感领域,漏洞的存在更成为致命威胁。
作为国产操作系统的代表,此次 360 Alpha Lab 发现的两个 UOS 系统本地提权漏洞,分别是 ROOT 提权漏洞与任意字符串漏洞,皆会导致普通用户在未授权情况下提升到 ROOT 权限。这就意味着攻击者一旦掌握这一漏洞,就能获得系统级别权限,并执行低权限用户无法执行的恶意操作,攻击危害程度指数级提升。
值得一提的是,UOS 系统下载量曾一度达到 8000 多万次,其在设计之初就已同步规划了一系列安全防护机制。据官方介绍,统信 UOS 通过分区策略、去除 ROOT 权限、商店应用安全策略、安全启动和开发者模式等多层次安全策略建立了软硬一体的安全体系,以此捍卫用户系统安全,其代表了国产操作系统安全防御能力的尖端水平,此次由 360 安全大脑发现、USRC 披露的漏洞致谢,也提升了整个信创产业对安全性的重视程度。
相比国外 Google、微软、苹果等厂商成熟的漏洞挖掘悬赏机制,本次致谢是国内信创领域首次公开发布的漏洞致谢,其标志着我国信创产业追赶国际脚步,从「能用可用」向「安全好用」阶段过渡,也代表着信创产业下的应急响应中心(SRC)开始逐步成长。
此次 360 率先发现统信 UOS 操作系统漏洞,双方在第一时间进行了积极沟通修复,传递出国产操作系统想要真正实现安全、构建整体安全防护体系,必须与独立安全厂商配合协作的方向,给整个信创生态产业的安全建设做出了表率,拓展了「信创+安全」产业合作新模式,实现了用户、软件厂商以及安全厂商的三方共赢。
以安全能力赋能,
360全方位护航信创产业安全
漏洞的发现和防护是网络空间安全战场重要的决胜点之一。
此次统信 UOS 操作系统漏洞的发现者——360 Alpha Lab,早前凭借发现「穿云箭」组合漏洞,拿到 Android 安全奖励计划(ASR)历史最高金额奖金;2019 年 3 月,360 Alpha Lab 又发现一枚可以用来 ROOT 国内外主流 Android 手机的「内核通杀」型漏洞,获 Google 发表公开致谢;2019 年 11 月,360 Alpha Lab 发现了威力更大、影响更广、奖金更高的「梯云纵」组合漏洞,并再一次刷新 Google 史上最高漏洞奖金纪录。
可以说,360 Alpha Lab 无可撼动的挖洞能力,是整个 360 安全大脑挖洞实力的缩影。近年,360 安全大脑不仅连续包揽了 Google、微软、苹果三巨头的最高漏洞奖励,并已累计发现包括苹果、Google、微软、华为、高通、VMWare 等在内的全球主流厂商 CVE 漏洞超过 2000 个(也就是说平均每天都会挖掘 1.3 个漏洞),成为全球获得致谢次数最多的安全厂商,刷新世界纪录,向世界展现了来自中国的安全力量。
从全球开放的安全大生态,到自主创新的信创产业领域,360作为国内网络安全领域的领军企业,肩负「国家队」身份与使命,在捍卫信创安全工作中积极响应国家号召,做出了一系列贡献。
除了先后推出以 360 安全浏览器和 360 终端安全防护系统为代表的多款信创产品,完成与麒麟、统信、龙芯、鲲鹏等多家主流平台厂商的适配,面向企事业单位推出的以安全防御为核心、以安全策略管控为重点、以自动化运维管理为支撑的专业安全服务体系。并在此基础上,360 基于世界级的漏洞挖掘及网络攻防对抗能力,帮助信创相关企业发掘和修复安全漏洞,降低漏洞被利用的风险,不断为信创领域输送安全能力。
未来,360 将持续以自身安全能力赋能信创产业,加深与信创产业链各个环节的合作。一方面,加速适配信创产品,另一方面,持续发挥核心优势帮助信创企业完善安全体系建设。在数字时代下,360 将携手信创生态伙伴共同推动我国信创产业高速发展,为相关重点行业网络安全保驾护航,最终实现全方位守护信创安全,为国家信创领域安全做出贡献。
