北京時間10月13日凌晨,微軟發布了10月份系統和產品補丁。
為了每年的天府杯挑戰賽發布“大補丸”,對于廠商來說已是常規操作。通常情況下,廠商會將手頭的漏洞盡量修補,以對抗可能在挑戰賽中攻破自己產品的選手們。因此,本月我們迎來了微軟包含修復多達71個漏洞的“補丁集合大禮包”,被修補漏洞的軟件,包括了對微軟Windows操作系統、微軟Edge、微軟Exchange郵件服務器和微軟Office等挑戰賽中的重點目標。
其中,微軟本月修復了CVE-2021-40449這個被卡巴斯基報告為“已經被在野利用”的Windows內核高危漏洞,“被在野利用”的漏洞,屬于值得關注的高危漏洞,通常意味著漏洞已經被黑客公開利用。 而另一個漏洞CVE-2021-26427也同樣值得關注。這是一個微軟Exchange郵件服務器的漏洞,雖然目前還未被利用,但是他的發現者則有些特別:美國國家安全局。我們在微軟的致謝報告里,也看到微軟感謝了來自“National Security Agency(NSA)”(美國國家安全局)的幫助。據公開媒體報道顯示,NSA被認為主導了全球黑客攻擊和大規模非法監聽,現在卻出現在微軟修復漏洞的感謝名單中,耐人尋味。
在此次微軟公布的致謝榜單上出現的,除了NSA,還有另外一股“力量” 更抓人眼球——來自中國的網絡安全新勢力,賽博昆侖科技旗下的 “昆侖實驗室”。在微軟的致謝榜單上我們可以看到,在本月,昆侖實驗室協助微軟修復了包括Windows內核、微軟媒體播放組件、微軟Hyper-V虛擬化系統等在內的微軟多個文件系統的一共七個漏洞,數量之多排在全球首位。
賽博昆侖是一家專注于提供零日漏洞獨家防御能力的新一代網絡空間安全公司,在軟硬件與系統安全、云安全、安全攻防與對抗等領域,都有著豐富的經驗和全球領先的技術成果。旗下“昆侖實驗室”成員在桌面和移動終端系統、云計算和虛擬化平臺、IoT與物聯網設備、企業級軟件、服務器和企業設備等多個漏洞研究方向上,都有扎實的攻防能力和豐富的經驗成果,技術實力已經多次得到實戰驗證。事實上,自今年以來,除微軟外,賽博昆侖已協助蘋果、谷歌等全球巨頭連續發現并修復多起漏洞。
此前,蘋果公司iOS 15正式版全球更新。賽博昆侖“昆侖實驗室”因協助蘋果公司修復內核高危漏洞(CVE-2021-30857),在更新說明中獲其致謝。另外,谷歌公司發布Chrome瀏覽器的93.0.4577.82桌面版本更新,著重修補了兩個被“在野”利用的Chrome零日漏洞CVE-2021-30632和CVE-2021-30633。這兩個被谷歌標記為“高危”的漏洞可以使攻擊者完全控制上網用戶的電腦,谷歌官方建議用戶盡快更新升級。而這兩個漏洞早在今年四月份就被賽博昆侖提前精準預測到,并為其產品用戶進行了針對性的提前保護。
作為一家今年剛剛創立的安全新軍,賽博昆侖已經迅速得到了業內外的普遍關注。而在接下來將要鳴鑼開戰的第四屆“天府杯”國際網絡安全大賽上,“昆侖實驗室”也將厲兵秣馬,派出最強精英陣容參賽,屆時其將有怎樣的表現,也十分為外界所期待。
