近日,统信安全应急响应中心(USRC)发布最新安全公告,公开致谢360 Alpha Lab发现并提交两份关于统信UOS操作系统的漏洞报告,基于这一致谢,360成为信创领域首家获得厂商官方致谢的安全公司。
致谢原文
根据报告,360 Alpha Lab所发现的两枚UOS本地 ROOT 提权漏洞和任意字符串漏洞,可让攻击者在未授权下获取系统级别权限并发起任意攻击。
目前,统信安全响应中心(USRC)已对漏洞进行了修复和更新,作为幕后功臣的360 安全大脑以自身安全能力赋能信创领域,为信创产业加速发展保驾护航。
国产系统漏洞“威胁信号”闪现
UOS官方首次发布重磅漏洞致谢
对于任何操作系统而言,漏洞往往代表着安全风险,而国产操作系统率先进入关键基础设施等敏感领域,漏洞的存在更成为致命威胁。
作为国产操作系统的代表,此次360 Alpha Lab发现的两个UOS系统本地提权漏洞,分别是ROOT 提权漏洞与任意字符串漏洞,皆会导致普通用户在未授权情况下提升到ROOT权限。
这就意味着攻击者一旦掌握这一漏洞,就能获得系统级别权限,并执行低权限用户无法执行的恶意操作,攻击危害程度指数级提升。值得一提的是,UOS系统下载量曾一度达到8000多万次,其在设计之初就已同步规划了一系列安全防护机制。
据官方介绍,统信UOS通过分区策略、去除ROOT权限、商店应用安全策略、安全启动和开发者模式等多层次安全策略建立了软硬一体的安全体系,以此捍卫用户系统安全,其代表了国产操作系统安全防御能力的尖端水平,此次由360安全大脑发现、USRC披露的漏洞致谢,也提升了整个信创产业对安全性的重视程度。
相比国外Google、微软、苹果等厂商成熟的漏洞挖掘悬赏机制,本次致谢是国内信创领域首次公开发布的漏洞致谢,其标志着我国信创产业追赶国际脚步,从“能用可用”向“安全好用”阶段过渡,也代表着信创产业下的应急响应中心(SRC)开始逐步成长。
此次360率先发现统信UOS操作系统漏洞,双方在第一时间进行了积极沟通修复,传递出国产操作系统想要真正实现安全、构建整体安全防护体系,必须与独立安全厂商配合协作的方向,给整个信创生态产业的安全建设做出了表率,拓展了“信创+安全”产业合作新模式,实现了用户、软件厂商以及安全厂商的三方共赢。
以安全能力赋能
360全方位护航信创产业安全
漏洞的发现和防护是网络空间安全战场重要的决胜点之一。
此次统信UOS操作系统漏洞的发现者——360 Alpha Lab,早前凭借发现“穿云箭”组合漏洞,拿到Android安全奖励计划(ASR)历史最高金额奖金;2019年3月,360 Alpha Lab又发现一枚可以用来ROOT国内外主流Android手机的“内核通杀”型漏洞,获Google发表公开致谢;2019年11月,360 Alpha Lab发现了威力更大、影响更广、奖金更高的“梯云纵”组合漏洞,并再一次刷新Google史上最高漏洞奖金纪录。
可以说,360 AlphaLab无可撼动的挖洞能力,是整个360安全大脑挖洞实力的缩影。
近年,360安全大脑不仅连续包揽了Google、微软、苹果三巨头的漏洞奖励,并已累计发现包括苹果、Google、微软、华为、高通、VMWare等在内的全球主流厂商CVE漏洞超过2000个(也就是说平均每天都会挖掘1.3个漏洞),成为全球获得致谢次数名列前茅的安全厂商,刷新世界纪录,向世界展现了来自中国的安全力量。
从全球开放的安全大生态,到家国情怀的信创产业领域,360作为国内专业网络安全公司,肩负“国家队”身份与使命,在捍卫信创安全工作中积极响应国家号召,做出了一系列贡献。
除了先后推出以360安全浏览器和360终端安全防护系统为代表的多款信创产品,完成与麒麟、统信、龙芯、鲲鹏等多家主流平台厂商的适配,面向企事业单位推出的以安全防御为核心、以安全策略管控为重点、以自动化运维管理为支撑的专业安全服务体系。
在此基础上,360基于专业的漏洞挖掘及网络攻防对抗能力,帮助信创相关企业发掘和修复安全漏洞,降低漏洞被利用的风险,不断为信创领域输送安全能力。
未来,360将持续以自身安全能力赋能信创产业,加深与信创产业链各个环节的合作。一方面,加速适配信创产品,另一方面,持续发挥核心优势帮助信创企业完善安全体系建设。
在数字时代下,360将携手信创生态伙伴共同推动我国信创产业高速发展,为相关重点行业网络安全保驾护航,最终实现全方位守护信创安全,为国家信创领域安全做出贡献。