首頁  >  IT頻道  >  業界資訊  > 正文

貢獻三大高危漏洞 騰訊安全獲“微軟補丁日”公開致謝

2018-09-13 17:28:02 | 來源: 東方網 | 編輯: 朱安娜 | 責編: 鄭思雯
分享到:

  北京時間9月12日,微軟例行發佈月度安全更新,修復了騰訊安全科恩實驗室提交的三個高危漏洞,並對其公開致謝。

  根據微軟官網公告顯示,這三個漏洞均來自騰訊安全科恩實驗室安全研究員Peter Hlavaty提報,分別為兩個Hyper-V漏洞(CVE-2018-8436、CVE-2018-8437)和一個SMB漏洞(CVE-2018-8335)。

  值得關注的是,Peter Hlavaty提交的三個漏洞是拒絕服務類型。通常情況下,拒絕服務類漏洞沒有遠程代碼執行漏洞嚴重,一般不會出現在微軟的月度更新中。但Peter Hlavaty此次提交的三個漏洞卻是基於遠程服務器的拒絕服務類型,安全隱患不可同日而語。

  Hyper-V是微軟提出的一種系統管理程序虛擬化技術,能夠實現桌面虛擬化,是微軟Azure雲服務器的御用組件,最近也應用在Edge中,用於增強虛擬化保護。Peter Hlavaty提交的兩個Hyper-V漏洞,通過Guest(來賓)可攻擊一個虛擬機上的Host(主人),進而可以攻擊所有虛擬機Host上的Guest,危害比單個客戶端比如像瀏覽器的遠程代碼執行還要大。

  此外,騰訊安全科恩實驗室此次獲致謝的SMB漏洞(CVE-2018-8335),正是此前“臭名昭著”的影子經紀人泄密的漏洞,再次揭示了SMB的安全隱患。騰訊安全科恩實驗室在這個問題上進一步檢查SMB的認證部分,併發現遠程錯誤。首當其衝的是固定的DOS和其他待定修復,而Azure DoS在關閉服務器時發揮著非常重要的作用。

  事實上,本次發現三個漏洞並非科恩實驗室首次在相應領域的研究成果。該實驗室在2017年就開始關注Hyper-V及遠程攻擊,並提交了CVE-2017-0161、CVE-2017-8664、CVE-2017-0051三個漏洞,指出Hyper-V的安全隱患,在協助微軟修復漏洞之後持續對這個微軟的重要部分保持關注。

  持續對一個領域保持研究熱情,對騰訊安全科恩實驗室這樣的白帽黑客團隊而言其實是“正常操作”。在時下大熱的車聯網安全領域,實驗室曾在2016和2017兩年連續通過無物理接觸式破解了特斯拉。雖然實現了同樣的破解效果,但是過程卻使用了截然不同的破解方式。

  而包含科恩實驗室在內的騰訊安全聯合實驗室更是世界廠商致謝公告上的常客,在今年BlackHat上公佈的微軟百人致謝榜上,騰訊一共8人上榜,向全世界展示了中國白帽黑客的實力;還曾在2016年向微軟、谷歌、Adobe、蘋果四大廠商貢獻269個漏洞報告,位居國內第一。

  騰訊安全科恩實驗室在協助廠商修復安全漏洞、提升安全性能的同時,還通過搭建全球性的安全技術對話平臺,攜手安全廠商和安全社區共同守護網絡安全。由騰訊安全發起、騰訊安全科恩實驗室和騰訊安全平臺部聯合主辦、騰訊安全學院協辦的2018騰訊安全國際技術峰會(TenSec)將於10月10日—11日召開。值得一提的是,來自微軟的安全專家Nicolas joly也將登臺演講,分享Hyper-V相關領域的安全問題。

  對於微軟本次發佈的更新,騰訊電腦管家已經第一時間推送了這批補丁,為了避免不法黑客利用最新漏洞進行攻擊,廣大用戶可通過騰訊電腦管家進行修復,以防電腦被不法黑客侵入。

國際在線版權與信息產品內容銷售的聲明:

1、“國際在線”由中國國際廣播電臺主辦。經中國國際廣播電臺授權,國廣國際在線網絡(北京)有限公司獨家負責“國際在線”網站的市場經營。

2、凡本網註明“來源:國際在線”的所有信息內容,未經書面授權,任何單位及個人不得轉載、摘編、複製或利用其他方式使用。

3、“國際在線”自有版權信息(包括但不限于“國際在線專稿”、“國際在線消息”、“國際在線XX消息”“國際在線報道”“國際在線XX報道”等信息內容,但明確標注為第三方版權的內容除外)均由國廣國際在線網絡(北京)有限公司統一管理和銷售。

已取得國廣國際在線網絡(北京)有限公司使用授權的被授權人,應嚴格在授權範圍內使用,不得超範圍使用,使用時應註明“來源:國際在線”。違反上述聲明者,本網將追究其相關法律責任。

任何未與國廣國際在線網絡(北京)有限公司簽訂相關協議或未取得授權書的公司、媒體、網站和個人均無權銷售、使用“國際在線”網站的自有版權信息產品。否則,國廣國際在線網絡(北京)有限公司將採取法律手段維護合法權益,因此產生的損失及為此所花費的全部費用(包括但不限于律師費、訴訟費、差旅費、公證費等)全部由侵權方承擔。

4、凡本網註明“來源:XXX(非國際在線)”的作品,均轉載自其它媒體,轉載目的在於傳遞更多信息,豐富網絡文化,此類稿件並不代表本網贊同其觀點和對其真實性負責。

5、如因作品內容、版權和其他問題需要與本網聯絡的,請在該事由發生之日起30日內進行。