日前微軟官網(wǎng)發(fā)布了5月安全公告，由360Vulcan團隊報告的兩枚Windows內(nèi)核漏洞和一枚Office漏洞都得到了修復。在今年3月的Pwn2Own世界黑客大賽上，360Vulcan團隊使用這兩枚內(nèi)核漏洞分別攻破Chrome沙箱和Flash沙箱并獲取系統(tǒng)最高權(quán)限，并將漏洞提交給微軟、谷歌、Adobe等相關(guān)廠商修復。迄今，360已累計獲得微軟官網(wǎng)安全公告致謝103次，成為首個突破一百大關(guān)的中國安全廠商。

圖：360Vulcan Team在微軟五月安全公告中獲得公開致謝

根據(jù)慣例，微軟在每個月的補丁日中，會對協(xié)助其發(fā)現(xiàn)并修復漏洞的第三方安全機構(gòu)和研究人員進行公開致謝，以表彰其為全世界Windows用戶安全所作出的貢獻。

Windows內(nèi)核提權(quán)漏洞是黑客攻擊中的“重型武器”，它的可怕之處在于可以讓一個程序獲得高級權(quán)限。用戶態(tài)和內(nèi)核態(tài)是Windows系統(tǒng)的安全防御門檻，被稱為希臘神話中的“嘆息之墻”。一旦內(nèi)核漏洞被攻擊者利用，Windows的整個防御體系都將土崩瓦解。

在今年3月的Pwn2Own世界黑客大賽上，360Vulcan團隊攻破谷歌Chrome和Adobe Flash Player。除了使用Chrome和Flash自身的漏洞實現(xiàn)執(zhí)行任意代碼，360Vulcan還利用Windows內(nèi)核漏洞穿透Chrome和Flash的沙箱，成為中國首支攻破Chrome的安全團隊。

漏洞挖掘是安全廠商技術(shù)實力的體現(xiàn)。在過去的2015年，360獲得微軟、蘋果、谷歌、Adobe等軟件巨頭上百次漏洞致謝，在全球所有安全機構(gòu)中排名高居第二，漏洞致謝數(shù)量僅次于Google Project Zero。從2009年至今，360也已獲得微軟103個漏洞致謝，360Vulcan團隊3名成員入選微軟安全TOP100貢獻榜，這些數(shù)據(jù)都遙遙領(lǐng)先于國內(nèi)其他廠商。

360Vulcan是360安全衛(wèi)士的攻防研究團隊，日常工作主要圍繞基礎(chǔ)軟件安全漏洞的挖掘和研究，幫助廠商修復漏洞以提升產(chǎn)品安全性，并通過在漏洞研究領(lǐng)域的經(jīng)驗，設計和提供更有效的安全解決方案。目前國內(nèi)Windows XP用戶廣泛使用的“XP盾甲”防護產(chǎn)品，就是由360Vulcan團隊設計研發(fā)的。