免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

CVSS9.8分緊急高危漏洞

可突破隔離獲宿主機系統(tǒng)權限

據悉，此次由360安全大腦報告并協(xié)助修復的遠程執(zhí)行代碼漏洞（CVE-2019-5544），是在2019年11月舉辦的“天府杯”國際網絡安全大賽上，由冠軍團隊360 Vulcan Team獨立攻破。在比賽現(xiàn)場，360 Vulcan Team通過該漏洞利用攻擊方案，實現(xiàn)了高質量的攻擊流程，一舉拿到了20萬美金的單項最高獎金。而正是該至關重要的漏洞發(fā)現(xiàn)，讓360 Vulcan Team又進一步提升了最終2019天府杯總冠含金量。

值得一提的是，該漏洞是由于ESXi和Horizon DaaS設備中使用的OpenSLP存在堆覆蓋問題，攻擊者利用此類漏洞可以突破虛擬機的權限隔離，獲得宿主機的系統(tǒng)權限，導致用戶數(shù)據的機密性，完整性和有效性失去保障。這意味著，在未經用戶授權的情況下，攻擊者可對用戶信息進行任意處理。而此類漏洞可以在其它虛擬機和宿主機上實現(xiàn)任意代碼執(zhí)行，并可能用于傳播網絡蠕蟲。

360 Vulcan Team在“天府杯”中使用的攻擊代碼已經第一時間提交給VMware廠商，以協(xié)助VMware針對比賽中被攻破的產品盡快發(fā)布補丁修復安全漏洞。但值得注意的一點是，VMware根據該漏洞的嚴重性及影響范圍，給出CVSS 9.8分的評分，將其定義為緊急高危漏洞。

要知道，CVSS全稱Common Vulnerability Scoring System，是由美國國家漏洞庫（NVD）發(fā)布的“通用漏洞評分系統(tǒng)”，是一個“行業(yè)公開標準，并被用來評測漏洞的嚴重程度，及幫助確定所需反應的緊急度和重要度”的漏洞評分體系。

在此之前，VMware官網公開的大部分漏洞評級都僅在CVSS 5.0-8.7范圍區(qū)間，由此可見，此次360 Vulcan Team所發(fā)現(xiàn)的遠程執(zhí)行代碼漏洞（CVE-2019-5544）被罕見地評為CVSS9.8分，足以說明該漏洞對應的威脅性和緊急性之高。

高危漏洞“挖掘機”

360安全大腦累計挖洞超過2000個

說起高危漏洞，2019年360安全團隊在漏洞挖掘方面可謂戰(zhàn)績赫赫。本年度，360安全團隊分別發(fā)現(xiàn)蘋果遠程越獄系列漏洞，谷歌的內核通殺“水滴”漏洞，以及剛公開不久的谷歌“梯云縱”漏洞，成功包攬?zhí)O果、谷歌、微軟漏洞挖掘史上最高獎金。

對于360安全大腦而言，不僅連續(xù)包攬了以上三巨頭的最高漏洞獎勵，并已累計發(fā)現(xiàn)包括蘋果、Google、微軟、華為、高通、VMWare等在內的全球主流廠商CVE漏洞超過2000個（也就是說平均每天都會挖掘1.3個漏洞），成為全球獲得致謝次數(shù)最多的安全廠商，刷新世界紀錄，向世界展現(xiàn)了來自中國的安全力量。

眾所周知，在大安全時代，“漏洞”關乎著企業(yè)自身的安全、品牌的聲譽以及千千萬萬用戶的切身利益，一旦漏洞被不法分子搶先發(fā)現(xiàn)并利用，其后果不堪設想。而360安全大腦，憑借著其過硬的實力，全年無休地守護著網絡安全，與惡勢力賽跑，幫助各大企業(yè)廠商不斷完善系統(tǒng)安全，努力為廣大用戶提供一個安全的網絡環(huán)境。

VMware官網致謝360安全大腦：

https://www.vmware.com/security/advisories/VMSA-2019-0022.html