360安全大脑发现并协助修复VMware远程高危漏洞,再获官方致
本月,VMware在官网上发布最新安全公告,公开致谢360 Vulcan Team发现并协助VMware成功修复OpenSLP远程执行代码漏洞(CVE-2019-5544)。而公告中,VMware将该漏洞定级为CVSS9.8分的紧急高危远程漏洞,目前VMware已发布安全补丁,建议用户尽快升级修复。
CVSS9.8分紧急高危漏洞 可突破隔离获宿主机系统期限
据悉,此次由360安全大脑报告并协助修复的远程执行代码漏洞(CVE-2019-5544),是在2019年11月举办的“天府杯”国际网络安全大赛上,由冠军团队360 Vulcan Team独立攻破。在比赛现场,360 Vulcan Team通过该漏洞利用攻击方案,实现了高质量的攻击流程,一举拿到了20万美金的单项最高奖金。而正是该至关重要的漏洞发现,让360 Vulcan Team又进一步提升了最终2019天府杯总冠含金量。
值得一提的是,该漏洞是由于ESXi和Horizon DaaS设备中使用的OpenSLP存在堆覆盖问题,攻击者利用此类漏洞可以突破虚拟机的权限隔离,获得宿主机的系统权限,导致用户数据的机密性,完整性和有效性失去保障。这意味着,在未经用户授权的情况下,攻击者可对用户信息进行任意处理。而此类漏洞可以在其它虚拟机和宿主机上实现任意代码执行,并可能用于传播网络蠕虫。
360 Vulcan Team在“天府杯”中使用的攻击代码已经第一时间提交给VMware厂商,以协助VMware针对比赛中被攻破的产品尽快发布补丁修复安全漏洞。但值得注意的一点是,VMware根据该漏洞的严重性及影响范围,给出CVSS 9.8分的评分,将其定义为紧急高危漏洞。
要知道,CVSS全称Common Vulnerability Scoring System,是由美国国家漏洞库(NVD)发布的“通用漏洞评分系统”,是一个“行业公开标准,并被用来评测漏洞的严重程度,及帮助确定所需反应的紧急度和重要度”的漏洞评分体系。
在此之前,VMware官网公开的大部分漏洞评级都仅在CVSS 5.0-8.7范围区间,由此可见,此次360 Vulcan Team所发现的远程执行代码漏洞(CVE-2019-5544)被罕见地评为CVSS9.8分,足以说明该漏洞对应的威胁性和紧急性之高。
高危漏洞“挖掘机” 360安全大脑累计挖洞超过2000个
说起高危漏洞,2019年360安全团队在漏洞挖掘方面可谓战绩赫赫。本年度,360安全团队分别发现苹果远程越狱系列漏洞,谷歌的内核通杀“水滴”漏洞,以及刚公开不久的谷歌“梯云纵”漏洞,成功包揽苹果、谷歌、微软漏洞挖掘史上最高奖金。
对于360安全大脑而言,不仅连续包揽了以上三巨头的最高漏洞奖励,并已累计发现包括苹果、Google、微软、华为、高通、VMWare等在内的全球主流厂商CVE漏洞超过2000个(也就是说平均每天都会挖掘1.3个漏洞),成为全球获得致谢次数最多的安全厂商,刷新世界纪录,向世界展现了来自中国的安全力量。
众所周知,在大安全时代,“漏洞”关乎着企业自身的安全、品牌的声誉以及千千万万用户的切身利益,一旦漏洞被不法分子抢先发现并利用,其后果不堪设想。而360安全大脑,凭借着其过硬的实力,全年无休地守护着网络安全,与恶势力赛跑,帮助各大企业厂商不断完善系统安全,努力为广大用户提供一个安全的网络环境。
- 银行股迎来“黄金买点”?摩根大通预计下半年潜在涨幅高达15%,股息率4.3%成“香饽饽”
- 华润电力光伏组件开标均价提升,产业链涨价传导顺利景气度望修复
- 我国卫星互联网组网速度加快,发射间隔从早期1-2个月显著缩短至近期的3-5天
- 光伏胶膜部分企业上调报价,成本增加叠加供需改善涨价空间望打开
- 广东研究通过政府投资基金支持商业航天发展,助力商业航天快速发展
- 折叠屏手机正逐步从高端市场向主流消费群体渗透
- 创历史季度新高!二季度全球DRAM市场规模环比增长20%
- 重磅!上海加速推进AI+机器人应用,全国人形机器人运动会盛大开幕,机器人板块持续爆发!
- 重磅利好!个人养老金新增三大领取条件,开启多元化养老新时代,银行理财产品收益喜人!
- 重磅突破!我国卫星互联网组网速度创新高,广东打造太空旅游等多领域应用场景,商业航天迎来黄金发展期!
