北京时间10月13日凌晨,微软发布了10月份系统和产品补丁。为了每年的天府杯挑战赛发布“大补丸”,对于厂商来说已是常规操作。通常情况下,厂商会将手头的漏洞尽量修补,以对抗可能在挑战赛中攻破自己产品的选手们。因此,本月我们迎来了微软包含修复多达71个漏洞的“补丁集合大礼包”,被修补漏洞的软件,包括了对微软Windows操作系统、微软Edge、微软Exchange邮件服务器和微软Office等挑战赛中的重点目标。其中,微软本月修复了CVE-2021-40449这个被卡巴斯基报告为“已经被在野利用”的Windows内核高危漏洞,“被在野利用”的漏洞,属于值得关注的高危漏洞,通常意味着漏洞已经被黑客公开利用。 而另一个漏洞CVE-2021-26427也同样值得关注。这是一个微软Exchange邮件服务器的漏洞,虽然目前还未被利用,但是他的发现者则有些特别:美国国家安全局。我们在微软的致谢报告里,也看到微软感谢了来自“National Security Agency(NSA)”(美国国家安全局)的帮助。据公开媒体报道显示,NSA被认为主导了全球黑客攻击和大规模非法监听,现在却出现在微软修复漏洞的感谢名单中,耐人寻味。在此次微软公布的致谢榜单上出现的,除了NSA,还有另外一股“力量” 更抓人眼球——来自中国的网络安全新势力,赛博昆仑科技旗下的 “昆仑实验室”。在微软的致谢榜单上我们可以看到,在本月,昆仑实验室协助微软修复了包括Windows内核、微软媒体播放组件、微软Hyper-V虚拟化系统、微软多个文件系统的一共七个漏洞,数量之多排在全球首位。赛博昆仑是一家专注于提供零日漏洞独家防御能力的新一代网络空间安全公司,在软硬件与系统安全、云安全、安全攻防与对抗等领域,都有着丰富的经验和全球领先的技术成果。旗下“昆仑实验室”成员在桌面和移动终端系统、云计算和虚拟化平台、IoT与物联网设备、企业级软件、服务器和企业设备等多个漏洞研究方向上,都有扎实的攻防能力和丰富的经验成果,技术实力已经多次得到实战验证。事实上,自今年以来,除微软外,赛博昆仑已协助苹果、谷歌等全球巨头连续发现并修复多起漏洞。此前,苹果公司iOS 15正式版全球更新。赛博昆仑“昆仑实验室”因协助苹果公司修复内核高危漏洞(CVE-2021-30857),在更新说明中获其致谢。另外,谷歌公司发布Chrome浏览器的93.0.4577.82桌面版本更新,着重修补了两个被“在野”利用的Chrome零日漏洞CVE-2021-30632和CVE-2021-30633。这两个被谷歌标记为“高危”的漏洞可以使攻击者完全控制上网用户的电脑,谷歌官方建议用户尽快更新升级。而这两个漏洞早在今年四月份就被赛博昆仑提前精准预测到,并为其产品用户进行了针对性的提前保护。作为一家今年刚刚创立的安全新军,赛博昆仑已经迅速得到了业内外的普遍关注。而在接下来将要鸣锣开战的第四届“天府杯”国际网络安全大赛上,“昆仑实验室”也将厉兵秣马,派出最强精英阵容参赛,届时其将有怎样的表现,也十分为外界所期待。 |