聚焦源代码安全，网罗国内外最新资讯！

奇安信代码安全实验室研究员为谷歌发现一个高危漏洞（CVE-2020-16002），第一时间向谷歌报告并协助其修复漏洞。

北京时间2020年10月21日，谷歌发布了补丁更新公告以及致谢公告，公开致谢奇安信代码安全实验室研究人员。

图：谷歌官方致谢

漏洞概述

CVE-2020-16002 –PDFium 中的释放后使用漏洞

该漏洞存在于 GoogleChrome 的媒体组件中。远程攻击者可创建一个特殊构造的 Web 页面，诱骗受害者访问该页面，触发释放后使用错误并在目标系统上执行任意代码，从而远程攻陷易受攻击的系统。

谷歌已解决这个漏洞问题，用户应尽快予以更新。

近期，奇安信代码安全实验室的研究员还为谷歌 Chrome 的其它版本发现了一个高危的释放后使用漏洞。目前该漏洞已修复。

参考链接

https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

关于奇安信代码卫士

基于奇安信代码安全实验室多年的技术积累，奇安信在国内率先推出了自主可控的源代码安全分析系统——奇安信代码卫士和奇安信开源卫士。奇安信代码卫士是一套静态应用程序安全测试系统，可检测1300多种源代码安全缺陷，支持C、C++、C#、Objective-C、Swift、Java、JavaScript、PHP、Python、Cobol、Go等20多种编程语言。奇安信开源卫士是一套集开源软件识别与安全管控于一体的软件成分分析系统，通过智能化数据收集引擎在全球范围内获取开源软件信息和漏洞信息，帮助客户掌握开源软件资产状况， 及时获取开源软件漏洞情报，降低由开源软件带来的安全风险，奇安信开源卫士目前可识别4000多万个开源软件版本，兼容NVD、CNNVD、CNVD等多个漏洞库。

别走，代码安全实验室招人了！

奇安信代码安全实验室正在寻找漏洞挖掘安全研究员，针对常见操作系统、应用软件、网络设备、智能联网设备等进行安全研究、漏洞挖掘。

奇安信代码安全实验室是奇安信集团旗下，专注于软件源代码安全分析技术、二进制漏洞挖掘技术研究与开发的团队。实验室支撑国家级漏洞平台的技术工作，多次向国家信息安全漏洞库 （CNNVD）和国家信息安全漏洞共享平台 （CNVD）报送原创通用型漏洞信息；帮助微软、谷歌、苹果、Cisco、Juniper、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、飞塔、华为、施耐德、Mikrotik、Netgear、D-Link、Netis、以太坊公链等大型厂商或机构的产品发现了数百个安全漏洞。目前，实验室拥有国家信息安全漏洞库特聘专家一名，多名成员入选微软全球TOP安全研究者。在Pwn2Own 2017世界黑客大赛上，实验室成员获得Master of Pwn破解大师冠军称号。

如果你：

• 对从事漏洞研究工作充满热情

• 熟悉操作系统原理，熟悉反汇编，逆向分析能力较强

• 了解常见编程语言，具有一定的代码阅读能力

• 熟悉 Fuzzing 技术及常见漏洞挖掘工具

• 挖掘过系统软件、网络设备等漏洞者（有cve编号）优先

• 具有漏洞挖掘工具开发经验者优先

那么，你将得到：

• 富有竞争力的薪酬，期望赏金猎人上线

• 补充医疗保险+定期体检----你的健康我来保障

• 定期团建----快乐工作交给我

• 福利年假+带薪病假----满足各种休假需求

• 下午茶----满足你每天的味蕾

注：工作地址为北京、西安、南京。

心动不如行动！不要犹豫！赶紧给 zhuqian@qianxin.com 投简历吧！我们会在3个工作日内找到你~

推荐阅读

奇安信代码安全实验室帮助微软修复两个“重要”漏洞，获官方致谢

奇安信代码安全实验室帮助 RedHat 修复两个 oVirt 漏洞，获官方致谢

奇安信代码安全实验室帮助Red Hat修复多个QEMU高危漏洞，获官方致谢

奇安信代码安全实验室帮助微软修复多个高危漏洞，获官方致谢

奇安信代码卫士帮助微软和 Oracle 修复多个高危漏洞，获官方致谢

奇安信代码安全实验室五人入选“2020微软 MSRC 最具价值安全研究者”榜单

题图：Pixabay License

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个 “在看” ，bounty 快来~