【烽巢網】

美國時間7月28日，被稱作全球“安全界奧斯卡”的Pwnie Awards公布了2021年最新獎項提名。360漏洞研究院一共獲得3項提名——先是憑借“颶風山竹漏洞鏈”和組合中的提權漏洞入圍“史詩級成就”和“最佳提權漏洞”候選名單，再以“沙盒提權漏洞”拿下另一個“最佳提權漏洞”提名。

（“史詩級成就”提名）

（“最佳提權漏洞”提名）

（“最佳提權漏洞”提名）

從Pwnie Awards官網公布的入圍情況來看，360漏洞研究院所挖掘的“颶風山竹”漏洞鏈，同時獲得“史詩級成就”和“最佳提權漏洞”兩項獎項提名。根據360漏洞研究院提交的報告，“颶風山竹”利用鏈中用到了兩枚漏洞，一枚是Binder漏洞(CVE-2020-0423)，一枚是瀏覽器漏洞（CVE-2020-6537），僅靠這兩枚漏洞便可以組合出整條利用鏈。該利用鏈首次實現了針對谷歌旗艦機型Pixel 4的一鍵遠程ROOT。安卓機型擁有大量的定制開發版本，但由于利用鏈中所用Binder漏洞的特點，該利用鏈一旦被攻擊者掌握并加以利用便可在短時間內攻破大量的安卓手機，具備實現大規模遠程通殺root的潛力。該項研究成果也因其廣泛的影響力登上了2020年谷歌安全獎勵計劃年報。“颶風山竹”利用鏈中所用的這枚Binder漏洞(CVE-2020-0423)將沙箱逃逸、root、通殺這幾大屬性融為一體，更是實現了僅觸發一次漏洞就能獲得穩定的任意地址讀寫元語，其影響范圍包括但不限于android 9/10/11，因其強大的影響力也獨立獲得了“最佳提權漏洞”提名。

除此以外，此次入圍“最佳提權漏洞”的“沙盒提權漏洞” (CVE-2021-1648)，其包括三個漏洞，任意地址讀取信息泄露，任意堆地址讀信息泄露和任意堆地址寫權限提升，組合起來可以實現對IE沙盒內的提權，該漏洞實現了對IE瀏覽器沙箱的突破，可以在IE沙盒內以高權限執行代碼。

“The Pwnie Awards”大獎，作為一項殿堂級的榮耀，任何安全研究員被成功提名已是實力的象征。尤其是今年的篩選條件依然嚴苛，獎項評選由來自全球最權威的安全研究專家擔任評委，需依據從2020年12月1日至2021年7月17日發布的漏洞，并且該漏洞在相應類別中排名前列（一般為前五名），才能獲得入圍候選資格。

去年，360 Alpha Lab已經憑借震驚業界的“梯云縱”漏洞鏈，一舉斬獲The Pwnie Awards 2020“史詩級成就”。這也是中國歷史上首個“史詩級成就”，來自中國的安全研究員14年來首次摘下這顆璀璨明珠。今年，Pwnie Awards入圍榜單新鮮出爐，360再度以捍衛東半球最強白帽子軍團的榮譽為使命，以多枚極具研究價值的漏洞，向全球網絡安全的至高榮譽發起新的一輪沖擊。

數字化時代的全面來臨，全球網絡空間正面臨前所未有的漏洞威脅挑戰，作為數字經濟的守護者，360政企安全集團將持續加強在漏洞安全研究方面的投入和鍛造，以360漏洞研究院為代表的360安全專家團隊，將在數字化時代的帷幕之下，持續輸出強勁的漏洞挖掘能力和安全守護力量，維護網絡空間安全，發揮磐石般的作用。