360宣布,360漏洞研究院获得Pwnie Awards的三项提名,在互联网领域,Pwnie Awards被称为“安全届奥斯卡”,360此次的三项提名分别是:“飓风山竹漏洞链”和组合中的提权漏洞入围“史诗级成就”和“最佳提权漏洞”候选名单,“沙盒提权漏洞”拿下另一个“最佳提权漏洞”提名。
根据360漏洞研究院提交的报告,“飓风山竹”利用链中用到了两枚漏洞,一枚是Binder漏洞(CVE-2020-0423),一枚是浏览器漏洞(CVE-2020-6537),仅靠这两枚漏洞便可以组合出整条利用链。该利用链,实现了针对谷歌旗舰机型Pixel 4的一键远程ROOT。
入围“最佳提权漏洞”的“沙盒提权漏洞” (CVE-2021-1648)包括三个漏洞,任意地址读取信息泄露,任意堆地址读信息泄露和任意堆地址写权限提升,组合起来可以实现对IE沙盒内的提权,该漏洞实现了对IE浏览器沙箱的突破,可以在IE沙盒内以高权限执行代码。