重磅！360获The Pwnie Awards 2021三项提名

• 360

美国时间7月28日，被称作全球“安全界奥斯卡”的Pwnie Awards公布了2021年最新奖项提名。360漏洞研究院一共 获得3项提名——先是凭借“飓风山竹漏洞链”和组合中的提权漏洞入围“史诗级成就”和“最佳提权漏洞”候选名单，再以“沙盒提权漏洞”拿下另一个“最佳提权漏洞”提名。

（“史诗级成就”提名）

（“最佳提权漏洞”提名）

（“最佳提权漏洞”提名）

从Pwnie Awards官网公布的入围情况来看，360漏洞研究院所挖掘的“飓风山竹”漏洞链，同时获得“史诗级成就”和“最佳提权漏洞”两项奖项提名。根据360漏洞研究院提交的报告，“飓风山竹”利用链中用到了两枚漏洞，一枚是Binder漏洞(CVE-2020-0423)，一枚是浏览器漏洞（CVE-2020-6537），仅靠这两枚漏洞便可以组合出整条利用链。该利用链首次实现了针对谷歌旗舰机型Pixel 4的一键远程ROOT。安卓机型拥有大量的定制开发版本，但由于利用链中所用Binder漏洞的特点，该利用链一旦被攻击者掌握并加以利用便可在短时间内攻破大量的安卓手机，具备实现大规模远程通杀root的潜力。该项研究成果也因其广泛的影响力登上了2020年谷歌安全奖励计划年报。“飓风山竹”利用链中所用的这枚Binder漏洞(CVE-2020-0423)将沙箱逃逸、root、通杀这几大属性融为一体，更是实现了仅触发一次漏洞就能获得稳定的任意地址读写元语，其影响范围包括但不限于android 9/10/11，因其强大的影响力也独立获得了“最佳提权漏洞”提名。

除此以外，此次入围“最佳提权漏洞”的“沙盒提权漏洞” (CVE-2021-1648)，其包括三个漏洞，任意地址读取信息泄露，任意堆地址读信息泄露和任意堆地址写权限提升，组合起来可以实现对IE沙盒内的提权，该漏洞实现了对IE浏览器沙箱的突破，可以在IE沙盒内以高权限执行代码。

“The Pwnie Awards”大奖，作为一项殿堂级的荣耀，任何安全研究员被成功提名已是实力的象征。尤其是今年的筛选条件依然严苛，奖项评选由来自全球最权威的安全研究专家担任评委，需依据从2020年12月1日至2021年7月17日发布的漏洞，并且该漏洞在相应类别中排名前列（一般为前五名），才能获得入围候选资格。

去年，360 Alpha Lab已经凭借震惊业界的“梯云纵”漏洞链，一举斩获The Pwnie Awards 2020“史诗级成就”。这也是中国历史上首个“史诗级成就”，来自中国的安全研究员14年来首次摘下这颗璀璨明珠。今年，Pwnie Awards入围榜单新鲜出炉，360再度以捍卫东半球最强白帽子军团的荣誉为使命，以多枚极具研究价值的漏洞，向全球网络安全的至高荣誉发起新的一轮冲击。

数字化时代的全面来临，全球网络空间正面临前所未有的漏洞威胁挑战，作为数字经济的守护者，360政企安全集团将持续加强在漏洞安全研究方面的投入和锻造，以360漏洞研究院为代表的360安全专家团队，将在数字化时代的帷幕之下，持续输出强劲的漏洞挖掘能力和安全守护力量，维护网络空间安全，发挥磐石般的作用。