11月1日凌晨,蘋果為大家帶來了正式版iOS11.1系統,新系統修復了之前曝光的幾乎影響了市面上所有設備的 WPA2 WiFi安全漏洞,進一步完善了用戶設備安全。與此同時,蘋果還在官網發布的iOS11.1、Safari 11.1以及最新版的macOS安全更新中特別強調,蘋果已經修復了騰訊安全玄武實驗室提供的三個高危級別漏洞,并表示公開致謝。
(騰訊安全玄武實驗室提供的有關WebKit安全漏洞)
(騰訊安全玄武實驗室提供的有關Safari安全漏洞)
(騰訊安全玄武實驗室提供的有關Dictionary Widget安全漏洞)
據了解,騰訊安全玄武實驗室提供的三個高危漏洞涉及Safari、iOS、iTunes、tvOS等多個平臺,如遭到攻擊者利用會為用戶隱私帶來嚴重威脅。根據蘋果官網信息顯示,騰訊安全玄武實驗室發現的其中一個漏洞編號為CVE-2017-13788,具體威脅表現為,在上述平臺此前的版本中,當用戶瀏覽網絡時,可能會因訪問到惡意制作的Web內容而導致任意代碼執行,引發病毒威脅;另一個編號為CVE-2017-13789的漏洞,威脅表現在,用戶可能會因訪問惡意網站而導致地址欄被篡改,進而受到欺詐;還有其中針對Dictionary Widget(字典工具)的一個安全漏洞,編號為CVE-2017-13801,該漏洞可能會引發用戶在粘貼文本查詢過程中導致隱私泄漏。
目前,蘋果已通過對內存處理、狀態管理、本地文件訪問驗證等方面的改進,全部修復了以上漏洞,進一步強化了設備安全性能。
今年以來,這已是騰訊安全玄武實驗室第五次獲得蘋果公司的官方致謝。中國安全研究團隊連續受到國際頂尖廠商的認可,也意味著中國網絡安全技術實力邁入國際領先水準。值得一提的是,在11月2日落幕的Mobile Pwn2Own2017世界頂級黑客大賽上,騰訊安全科恩實驗室戰隊以最高級別破解蘋果iOS 11系統,接連攻破WiFi和Safari瀏覽器兩個目標。漏洞將在賽后匯報給蘋果公司,以進一步幫助廠商完善其產品安全性。
作為國內頂級的網絡安全研究團隊,騰訊安全玄武實驗室不斷在漏洞攻防研究上取得重要突破。自2015年12月啟動PDF漏洞研究以來,騰訊安全玄武實驗室一年時間內發現并向軟件廠商報告了122個漏洞,涵蓋Adobe Acrobat and Reader、Foxit Reader、Microsoft Edge、Google Chrome和OS X Preview等主流閱讀器和瀏覽器;在針對條碼閱讀器的“BadBarcode”漏洞研究中,騰訊安全玄武實驗室揭示了影響整個行業的存在了近二十年的重大安全隱患,并因此榮獲WitAwards“年度最佳研究成果”獎。
在2016年中,騰訊安全玄武實驗室和騰訊安全聯合實驗室旗下的其他六大實驗室相互配合,已累計為微軟、蘋果、谷歌、Adobe四大國際頂尖廠商提交漏洞269個,位居國內首位,進一步幫助廠商提升了產品的安全性能,保障了海量用戶的上網安全。此外,騰訊安全玄武實驗室還憑借原創漏洞報送第一名的成績,獲得了國家信息安全漏洞共享平臺(CNVD)授予的“原創漏洞報送突出貢獻單位”稱號;同時,該實驗室還榮獲國家信息安全漏洞庫(CNNVD)授予“2016年度優秀支撐單位”獎項。
騰訊安全玄武實驗室負責人于旸表示,通過不斷對外輸出安全技術能力,贏得國際關注,將進一步增強用戶對國內互聯網安全技術的信心,對提升中國互聯網安全技術的國際影響力將起到催化作用。而騰訊安全玄武實驗室將會把在業內獲得的認可轉化為持續發展的動力,通過不斷的核心安全技術攻堅,幫助科技廠商進一步提升產品安全性能。
(新聞稿 2017-11-06)