协助 VMware 修复云产品重大安全漏洞,昆仑实验室连获致谢
消息来源:baojiabao.com 作者: 发布时间:2024-05-18
2 月 16 日,VMware 公司发布安全公告 VMSA-2022-0004,公告包括了针对影响 VMware ESXi、Workstation、Fusion 和 Cloud Foundation 等"看家"云产品的多个漏洞补丁,修复了多个标记为"高危"(Critical)的安全漏洞。这些漏洞的 CVSS 评分都高达 8.2-8.4,VMWare 公司建议所有相关用户紧急升级,修复这些安全漏洞。
值得一提的是,这次安全漏洞的修复,主要就是由国内安全新兴企业"赛博昆仑"旗下的"昆仑实验室"协助 VMWare 公司完成的。在 2021 年 10 月第四届"天府杯"国际网络安全挑战赛中,昆仑实验室发现了 VMWare 云产品的相关漏洞,也是实验室获得大赛冠军的战绩之一。
昆仑实验室是北京赛博昆仑科技有限公司旗下的安全研究团队。在去年的"天府杯"比赛中,昆仑实验室状态神勇,表现强势,在为期两天的比赛中,先后攻下包括 VMware ESXi、VMware workstaion 在内共七个比赛项目,赢得 65.45 万美元的奖金,并强势冲顶,加冕天府杯全球总冠军。
"天府杯"结束以后,各家厂商开始陆续修复中国安全团队在该赛事中发现的安全漏洞。昆仑实验室作为赛事总冠军,从去年起就陆续收到来自苹果、微软、谷歌等厂商的致谢。这一情况一直持续到目前 -- 除了本次 VMware 的致谢,今年伊始,昆仑实验室成员还收到了来自微软、Adobe PDF Reader 等厂商发出的致谢。2022 年开年还不到 2 个月,赛博昆仑和昆仑实验室就已经多次证明了自己超人一筹的技术能力。
此次 VMware 推出的安全公告中,涵盖了编号为 CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043 和 CVE-2021-22050 的五个安全漏洞,除 CVE-2021-22050 外,其余四个安全漏洞,都由昆仑实验室发现。
其中,CVE-2021-22040 为 VMware ESXi、Workstation 和 Fusion 在 XHCI USB 控制器中包含的释放后使用漏洞,该漏洞的存在,可能导致虚拟机上的本地管理权限利用此问题执行代码。CVE-2021-22041 则为 VMware ESXi、Workstation 和 Fusion 在 UHCI USB 控制器中包含的双取漏洞,同样可能导致被虚拟机上具有本地管理权限的攻击者利用,在主机上运行虚拟机的 VMX 进程时执行代码。CVE-2021-22042 为 VMware ESXi 包含的未经授权的访问漏洞,CVE-2021-22043 则为 VMware ESXi 在处理临时文件时存在的 TOCTOU(检查时间-使用时间)漏洞。
按照 VMware 在本次公告中的评估,这些漏洞都具有极高的危险性。四个漏洞均已被纳入"重要安全问题",其中 CVE-2021-22040、CVE-2021-22041 的 CVSSv3 严重性评分高达 8.4,CVE-2021-22042 和 CVE-2021-22043 的评分也达到了 8.2。
事实上,自 2021 年初成立以来,昆仑实验室一直是谷歌、微软、苹果等厂商致谢更新名单上的常客,总能因发现和修补安全漏洞而榜上有名。作为专注提供零日漏洞独家防御能力的新一代网络空间安全公司,赛博昆仑在软硬件与系统安全、云安全、安全攻防对抗等领域,都具备较深经验和技术特点。"昆仑实验室"则由顶级安全专家组成,专门负责高级漏洞研究与对抗。实验室成员在桌面和移动终端系统、云计算和虚拟化平台、IoT 与物联网设备、企业级软件、服务器和企业设备等多个漏洞研究方向上都有较深攻防能力和经验。
强大的技术实力,也使赛博昆仑备受资本市场的关注。据统计,去年初成立的赛博昆仑,在第一年内就吸引早期投资接近 1.5 亿元。对此,投资方代表表示,"赛博昆仑作为国内独家有能力提供完整 0 day 漏洞防御与对抗服务的新一代网络安全公司,技术实力已在国际上得到证明。我们认为公司将成为筑牢国家网络安全防线的中坚力量,填补目前网络安全服务市场未满足的需求。我们将持续支持和陪伴公司成长,期待公司未来能更好地守护我国政企网络安全。"
据悉,在新一轮融资完成后,赛博昆仑将持续完善产品矩阵,在包括服务器与工作站安全、云原生与容器安全、高级威胁情报、高级安全溯源等多个企业安全产品与服务方向持续进行研发投入,扩大市场落地。
2022-07-13 18:03:08相关文章
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩
2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万9
2023-12-28 19:41:57
- 国家新闻出版署:认真研究《网络游戏管理办法(草桉徵求意见稿)》关切 实行前进一步完善
2023-12-28 19:14:56
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步
2023-12-28 18:57:55
- 印度以打击金融犯罪为由逮捕了两名 vivo 高管
2023-12-26 16:49:01
- 在国外微信收不到国内信息?微信和WeChat将被拆分
2023-12-15 10:40:15
- 苹果iPhone15 系列手机发布最新消息 预计上市发布时间9月
2023-08-06 23:21:02
- 华为将发布鸿蒙HarmonyOS4操作系统 功能五大升级支持设备清单
2023-08-06 23:17:37
- 整治自媒体网红账号 400万粉丝网红发布擦边视频被无限期封禁
2023-07-12 09:56:09
- 网传微信文件传输助手是真人是真的吗?微信官方回应
2023-06-27 15:53:32
- 电信移动送手机成了“信用购”?你上了运营商的贷款套路了吗?
2023-06-12 17:18:55
- 中国电信广东地区崩了无信号 客服回应已在核实处理
2023-06-08 15:39:04
- 消息称小米新能源汽车价格表正讨论定价区间:双版本不同配置,高配或超 35 万元
2023-03-06 12:56:03
- 华为因制裁被传或分拆剥离手机业务? 内部人士回应:可能性不大.
2023-03-05 23:26:41
- OPPO正式发布安第斯智能云,让终端更智能
2023-02-24 16:02:27
- 华为与OPPO签订全球专利交叉许可协议 包括5G蜂窝通信专利
2023-02-24 16:02:26
- 老蛙将推MINI镜头新品:目前未知具体规格 官宣将于12月20日发布
2023-02-24 16:02:26
- 首发全新35mm定制光学系统 努比亚Z50性能同样强悍
2023-02-24 16:02:25
- Redmi K60屏幕细节曝光:全系标配2K护眼柔性直屏+5000mAh大容量电池
2023-02-24 16:02:25
- OPPO Find N2今天发 合金金属折叠屏更轻了
2023-02-24 16:02:24