360獲統信軟件公開致謝，全方位守護信創產業安全啓航

近日，統信安全應急響應中心（USRC）發佈最新安全公告，公開致謝360 Alpha Lab發現並提交兩份關於統信UOS操作系統的漏洞報告，基於這一致謝，360成為信創領域首家獲得廠商官方致謝的安全公司。

根據報告，360 Alpha Lab所發現的兩枚UOS本地 ROOT 提權漏洞和任意字符串漏洞，可讓攻擊者在未授權下獲取系統級別權限併發起任意攻擊。目前，統信安全響應中心（USRC）已對漏洞進行了修復和更新，作為幕後功臣的360 安全大腦以自身安全能力賦能信創領域，為信創產業加速發展保駕護航。

對於任何操作系統而言，漏洞往往代表着安全風險，而國產操作系統率先進入關鍵基礎設施等敏感領域，漏洞的存在更成為致命威脅。

此次360 Alpha Lab發現的兩個UOS系統本地提權漏洞，分別是ROOT 提權漏洞與任意字符串漏洞，皆會導致普通用户在未授權情況下提升到ROOT權限。這就意味着攻擊者一旦掌握這一漏洞，就能獲得系統級別權限，並執行低權限用户無法執行的惡意操作，攻擊危害程度指數級提升。

值得一提的是，UOS系統下載量曾一度達到8000多萬次，其在設計之初就已同步規劃了一系列安全防護機制。據官方介紹，統信UOS通過分區策略、去除ROOT權限、商店應用安全策略、安全啓動和開發者模式等多層次安全策略建立了軟硬一體的安全體系，以此捍衞用户系統安全，其代表了國產操作系統安全防禦能力的尖端水平，此次由360安全大腦發現、USRC披露的漏洞致謝，也提升了整個信創產業對安全性的重視程度。

漏洞的發現和防護是網絡空間安全戰場重要的決勝點之一。

此次統信UOS操作系統漏洞的發現者——360 Alpha Lab，早前憑藉發現“穿雲箭”組合漏洞，拿到Android安全獎勵計劃（ASR）歷史最高金額獎金；2019年3月，360 Alpha Lab又發現一枚可以用來ROOT國內外主流Android手機的“內核通殺”型漏洞，獲Google發表公開致謝；2019年11月，360 Alpha Lab發現了威力更大、影響更廣、獎金更高的“梯雲縱”組合漏洞，並再一次刷新Google史上最高漏洞獎金紀錄。

可以説，360 Alpha Lab無可撼動的挖洞能力，是整個360安全大腦挖洞實力的縮影。近年，360安全大腦不僅連續包攬了Google、微軟、蘋果三巨頭的最高漏洞獎勵，並已累計發現包括蘋果、Google、微軟、華為、高通、VMWare等在內的全球主流廠商CVE漏洞超過2000個（也就是説平均每天都會挖掘1.3個漏洞），成為全球獲得致謝次數最多的安全廠商。

除了先後推出以360安全瀏覽器和360終端安全防護系統為代表的多款信創產品，完成與麒麟、統信、龍芯、鯤鵬等多家主流平台廠商的適配，面向企事業單位推出的以安全防禦為核心、以安全策略管控為重點、以自動化運維管理為支撐的專業安全服務體系。並在此基礎上，360基於世界級的漏洞挖掘及網絡攻防對抗能力，幫助信創相關企業發掘和修復安全漏洞，降低漏洞被利用的風險，不斷為信創領域輸送安全能力。

未來，360將持續以自身安全能力賦能信創產業，加深與信創產業鏈各個環節的合作。一方面，加速適配信創產品，另一方面，持續發揮核心優勢幫助信創企業完善安全體系建設。在數字時代下，360將攜手信創生態夥伴共同推動我國信創產業高速發展，為相關重點行業網絡安全保駕護航，最終實現全方位守護信創安全。