奇安信代码安全实验室帮助微软修复高危漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯!
奇安信代码安全实验室研究员为微软发现两个漏洞(CVE-2020-17038和CVE-2020-17030),其中CVE-2020-17038为“高危”级别。研究员第一时间向微软报告并协助其修复漏洞。
北京时间2020年11月11日,微软发布了补丁更新公告以及致谢公告,公开致谢奇安信代码安全实验室研究人员。
图:微软官方致谢
漏洞简述
CVE-2020-17038 – Win32k 提权漏洞
低权限的本地攻击者在无需用户交互的情况下,即可触发该漏洞,提升攻击者的权限。微软对该漏洞的可利用性评估是“较有可能被利用”,即更可能被攻击者利用,相关用户应该将其设为较高优先级。
CVE-2020-17030 — Windows MSCTF Server信息泄漏漏洞
低权限的本地攻击者在无需用户交互的情况下,即可引发信息泄漏,使攻击者获得进一步攻陷受影响系统的信息。
微软已解决这两个漏洞问题,用户应尽快予以更新。
参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17030
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17038
关于奇安信代码卫士
基于奇安信代码安全实验室多年的技术积累,奇安信在国内率先推出了自主可控的源代码安全分析系统——奇安信代码卫士和奇安信开源卫士。奇安信代码卫士是一套静态应用程序安全测试系统,可检测1300多种源代码安全缺陷,支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统,通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息,帮助客户掌握开源软件资产状况, 及时获取开源软件漏洞情报,降低由开源软件带来的安全风险,奇安信开源卫士目前可识别4000多万个开源软件版本,兼容NVD、CNNVD、CNVD等多个漏洞库。
别走,代码安全实验室招人了!
奇安信代码安全实验室是奇安信集团旗下,专注于软件源代码安全分析技术、二进制漏洞挖掘技术研究与开发的团队。实验室支撑国家级漏洞平台的技术工作,多次向国家信息安全漏洞库 (CNNVD)和国家信息安全漏洞共享平台 (CNVD)报送原创通用型漏洞信息;帮助微软、谷歌、苹果、Cisco、Juniper、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、飞塔、华为、施耐德、Mikrotik、Netgear、D-Link、Netis、以太坊公链等大型厂商或机构的产品发现了数百个安全漏洞。目前,实验室拥有国家信息安全漏洞库特聘专家一名,多名成员入选微软全球TOP安全研究者。在Pwn2Own 2017世界黑客大赛上,实验室成员获得Master of Pwn破解大师冠军称号。
对从事漏洞研究工作充满热情 熟悉操作系统原理,熟悉反汇编,逆向分析能力较强 了解常见编程语言,具有一定的代码阅读能力 熟悉 Fuzzing 技术及常见漏洞挖掘工具 挖掘过系统软件、网络设备等漏洞者(有cve编号)优先 具有漏洞挖掘工具开发经验者优先
富有竞争力的薪酬,期望赏金猎人上线 补充医疗保险+定期体检----你的健康我来保障 定期团建----快乐工作交给我 福利年假+带薪病假----满足各种休假需求 下午茶----满足你每天的味蕾
奇安信代码安全实验室帮助微软修复两个“重要”漏洞,获官方致谢
奇安信代码安全实验室帮助 RedHat 修复两个 oVirt 漏洞,获官方致谢
奇安信代码安全实验室帮助Red Hat修复多个QEMU高危漏洞,获官方致谢
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。