Aggregator

在 Android 操作系统中，研究人员发现了一个编号为 CVE-2024-31317 的严重漏洞。该漏洞允许攻击者借助 Zygote 进程，在整个系统范围内执行代码并提升权限。此缺陷影响运行 Android 11 或更早版本的设备，在 Android 生态系统中暴露出一个不容忽视的安全隐患。

背景和漏洞详细信息

Zygote 进程作为 Android 的基础组件，承担着生成新的应用程序和系统级进程的关键任务。它以系统权限运行，这使其成为了企图提升访问权限的攻击者的重点目标。

Android 启动过程的高级概述

该漏洞的根源在于系统服务器处理 “hidden_api_blacklist_exemptions” 设置的方式。这种处理方式存在缺陷，导致某些应用程序能够绕过 Android 的隐藏 API 限制。具体而言，系统服务器在向 Zygote 传递此设置时，未能正确转义换行符，这一疏忽给攻击者创造了可乘之机，他们能够向 Zygote 进程注入任意命令。

通过 ADB Shell 进行利用

攻击者可借助 Android Debug Bridge（ADB）Shell 来利用这一漏洞。ADB Shell 具备 “WRITE_SECURE_SETTINGS” 权限，能够修改 “hidden_api_blacklist_exemptions” 设置。攻击者通过向该设置注入恶意命令，就能够以系统范围的权限执行任意代码。

Android 系统服务器源代码中存在漏洞的部分。 

概念验证漏洞展示了攻击者如何通过注入有效载荷来生成具有提升权限的新进程，从而将权限从普通 shell 用户提升至系统用户。据研究人员介绍，这一进程可被配置为执行诸如启动持久 shell 等命令，使得攻击者能够持续控制设备。

利用此漏洞可能引发严重后果。若漏洞未得到妥善清除，极有可能导致设备陷入启动循环。

风险缓解措施

为降低这些风险，用户可以通过 ADB Shell 删除被修改的 “hidden_api_blacklist_exemptions” 设置，然后重启设备，以此恢复 Zygote 的正常运行。不过，这一操作也会清除任何已注入的有效载荷，意味着攻击者若想重新获取提升的访问权限，需要再次重复利用该漏洞的过程。

此漏洞的发现，凸显了保护 Android 核心进程的重要性，同时也强调了及时进行漏洞修补，以防范此类安全隐患的紧迫性。

3月28日，北京威努特技术有限公司（简称“威努特”）与杭州市上城区国有资本运营集团有限公司（简称“上城资本集团”）在杭州市杭港科技大厦签署战略投资协议，正式宣布引入国有资本战略投资。上城区政府副区长陈安出席签约仪式并讲话，区科技局党委书记、局长陈刚、区数据资源局局长胡文进、区发改经信局副局长胡丽亚、四季青街道党工委副书记、办事处主任宋进军、上城资本集团董事长游文程以及威努特董事长兼CEO龙国东、副总经理石岩等参加。

这一合作进一步强化了威努特在网络安全及ICT数字化领域的发展动能，通过国有资本、地方政府与产业生态的多重协同，威努特将以杭州总部为战略支点，深度融入“中国元谷”未来产业先导区建设，为区域新质生产力跃升注入强劲动能。

国资与创新共振 构筑未来战略发展新格局

在杭州市政府“数字产业化、产业数字化”双轮驱动战略支持下，上城区通过政策引导、资源对接、场景开放等多维度推动企业高质量发展。上城资本集团作为区属国有资本投资运营主平台，此次战略投资不仅体现国有资本对科创领域的前瞻布局，更通过搭建政企协同创新平台，助力威努特的技术成果在上城落地转化。

依托“基金+基地”产融联动模式，双方将共同打造覆盖ICT全域的研发及服务全链条产业集群。其中，元宇宙作为数字经济与实体经济深度融合的前沿领域，威努特已经成功申报成为上城区元宇宙一类企业，将以此为契机，重点开辟工业元宇宙创新赛道，聚焦相关核心技术研发，推动安全、可信、智能的元宇宙解决方案在制造、能源、交通等关键领域的应用，助力中国数字经济与实体经济的协同发展。

与此同时，威努特将持续打造AI驱动的数字化新基建，以一站式解决方案引领更多用户实现安全、智能、高效的业务转型升级；进一步构建开放产业生态，依托杭州总部打造集研发与业务于一体的创新基地，协同上城资本集团推动跨领域资源整合与价值重构，携手客户与合作伙伴等生态参与者共绘数字时代的繁荣图景。

在国有资本及各方力量的凝聚下，威努特将在杭州这片创新沃土上书写高质量发展的新篇章。以杭州总部为战略支点，立足华东，辐射全国乃至全球市场，深耕网络安全、人工智能、云计算等前沿领域，为中国数字经济发展贡献更多价值，开创科技新时代！

关于上城资本集团

杭州上城区国有资本运营集团有限公司（简称“上城资本集团”）系杭州市上城区属国有企业，注册资本100亿元。作为全区唯一的国有资本运营平台，上城资本集团承载着“资源配置枢纽、资本运作引擎、战略投资先锋”三大使命。集团主要以资本运作为核心主业，重点围绕“资本运作+基金投资+产业园运营+供应链金融+融资担保”的产业战略规划，通过市场化运作，做大做强国有资本。

集团本级内设五个部门：综合管理部、计划财务部、战略投资部、风控法务部、审计监察部。下设4个子公司：杭州上城资本私募基金管理有限公司、杭州上城区产业园发展有限公司、杭州大井供应链有限公司、杭州市上城区融资担保有限公司。

截至2023年底，集团合并资产规模1782亿元，净资产达788亿元，实现合并总收入108亿元，合并利润总额9.7亿元。国内主体信用评级AAA。集团产业基金总规模100亿元，子基金合作规模达81.95亿元，产业基金累计直接或间接投资的项目245个，已退出项目69个，已有40家企业成功登陆资本市场。

关于威努特

北京威努特技术有限公司（简称“威努特”）是中国国有资本风险投资基金旗下的企业。2014年，威努特自主研发出国内第一台工业防火墙，开创了中国工控安全从无到有的历史。经过十年的发展，员工总数1000余人，在北京、杭州设立双总部，在天津、上海、广州、武汉、苏州、南京、成都建立了七大全资子公司，组建了集业务、技术、服务于一体的40个分支机构，拥有3000多家合作伙伴，致力于为全球用户提供涵盖安全、网络、云、计算在内的一站式整体解决方案，把安全数字化转型带入千行百业。 

十年来，威努特始终扎根行业，将技术与客户应用场景充分融合，在科技自主创新的道路上取得了一个又一个重大突破，开发出涵盖安全、网络、云、计算在内的五大产品线120款产品，为电力、能源、交通、政府、医疗、教育、制造业等多个重要行业用户提供更贴近需求的一站式数智化解决方案和专业化服务，并赢得广泛赞誉，已成为10000家用户最信赖的首选合作伙伴。

3月29日，备受瞩目的第八届西湖论剑・中国杭州网络安全技能大赛（以下简称“西湖论剑大赛”）决赛于杭州震撼启幕。本届大赛以“人才：激发数字安全新动能”为主题，吸引了数十支精英战队、超百位顶尖选手齐聚杭州，共同投身这场网络安全领域的巅峰对决，为网络强国建设积蓄人才力量。

本届大赛由杭州市公安局、共青团杭州市委、杭州市学生联合会主办，安恒信息、杭州市网络安全研究所、杭州市网络安全协会、共青团杭州市滨江区委承办，全国数字安全行业产教融合共同体协办。杭州市公安局党委委员、副局长田国刚，杭州市学生联合会执行主席李睿杰，安恒信息党委书记、总经理张小孟，杭州市公安局网络警察分局局长徐军华，浙江省公安厅网络安全保卫总队副总队长张燕春，共青团杭州市委员会学校与权益部部长叶景明，杭州高新区滨江团工委书记汪心文，杭州市公安局网络警察分局政委严幼平，安恒信息高级副总裁、首席人才官苗春雨，杭州市公安局网络警察分局副局长褚晓勇，安恒信息副总裁、安恒安全服务总经理吴鸣旦，杭州市公安局网络安全总监、大赛裁判长吴迪，安恒信息数字人才创研院副院长叶雷鹏等嘉宾出席大赛开幕式及颁奖典礼。

智御未来 重构AI+安全新生态

今年《政府工作报告》提出持续推进“人工智能+”行动，支持大模型广泛应用。在这样的大背景下，AI+安全技术正成为重构网络安全新生态的关键力量。

西湖论剑大赛向来以其创新性赛制、高质量赛题、高规格办赛标准著称。本届大赛设网络攻防实战赛、创新挑战赛、可信众测赛三大赛项，结合时代发展需求，聚焦时下网络安全的关键技术和核心议题，在赛题设计中融入AI、数据安全等元素，内容包含“AI+安全”、数据安全、IoT漏洞挖掘等多个当下热点安全问题，致力于选拔出具备真才实学、勇于担当的优秀网络安全人才。

网络攻防实战赛作为最具看点的赛项，旨在挖掘实战型网络安全技术人才，通过线上初赛与线下决赛，综合考察参赛队伍网络渗透、应急响应、漏洞挖掘等多方面的知识技能和实战能力。创新挑战赛聚焦网络安全产业高质量发展需求，通过政府搭台、企业出题、人才创新的模式，致力于打通教育链、创新链、产业链，真正解决行业技术难题，创新人才评价体系，为优秀人才的脱颖而出创造条件。可信众测赛作为大赛的重要一环，旨在通过网络安全评估，发现和解决系统及应用程序中的安全漏洞和风险，在实战中锻炼提升网络安全从业者的技艺水平，激发创新精神，开拓攻防对抗新思路。

开幕式上，杭州市公安局党委委员、副局长田国刚在致辞中表示：“杭州作为数字经济与人工智能的高地，承载着数字中国建设的重任。数字未来的竞争，本质是安全生态的竞争；网络安全的较量，终究是人才的较量。面对人工智能带来的安全变革，我们更需要跨界协作，培养既懂AI算法又精攻防实战的复合型人才，共同构建数字时代的‘安全命运共同体’。期待通过本次大赛，见证技术巅峰的对决，推动产学研用的深度融合。”

安恒信息党委书记、总经理张小孟在致辞中强调，人才是网络安全的首要资源，是抵御威胁、推动创新的核心动能。杭州不仅是“数字之城”，更是城市与青年双向奔赴的舞台。近年来，杭州以青年需求为导向，发布各项青年人才政策，形成“产学研用”协同生态。“我们期待各位能够来到杭州这座亚运之城、创新之城的沃土上，承载梦想，实现突破，共同书写‘青年与城市双向奔赴’的新篇章！”

第八届西湖论剑大赛自开赛以来，共吸引了436所高校和10余家企业的842支队伍、4169名豪杰参赛，更有海外侠客慕名而来。经过线上初赛的激烈比拼后，32支技能强队从初赛中脱颖而出，亮相网络攻防实战赛决赛现场；15支网络安全创新优胜队齐聚创新挑战赛争锋。各战队充分发扬创新精神，以高度的责任感和使命感，在综合虚拟仿真、技术创新、真实漏洞挖掘等关键领域，取得了令人瞩目的优异成绩。

以赛为媒 引领AI时代新质生产力发展

步入决赛现场，紧张与激情交织的氛围扑面而来。参赛队伍大显身手，对网络防御策略进行优化，将AI深度融合进攻防体系，实现了从“工具赋能”到“认知重构”的跨越式突破，全方位展现出对网络安全的深度洞察与高效应对能力。

参赛的网络安全人才，凭借前沿智慧、专业知识、创新思维与默契协作，在这场巅峰对决中脱颖而出。经过数小时的鏖战，北京邮电大学“天枢Dubhe战队”以总分第一的成绩问鼎网络攻防实战赛冠军宝座，捧起了属于荣耀者的奖杯。与此同时，来自北京邮电大学&北京理工大学的bak战队、中国科学技术大学的柒战队、浙江信安数智科技有限公司的浙江信安数智战队获得创新挑战赛一等奖，《层层深入-信息综合利用获取目标权限》作品、《0day 组合拳》作品获得可信众测赛一等奖，成为开启数字安全新篇章的领航者。

在AI与数字安全深度融合的浪潮下，本届大赛不仅是一场技术实力的较量，更成为展现“AI+安全”新质生产力的重要窗口。

“人工智能、边缘计算等新兴信息技术和各行各业的融合与交叉已成为不可避免的趋势。作为新质生产力的代表，人工智能与其他技术的结合，将为各行各业注入新的活力。伴随着AI技术的广泛应用，其模型安全、内容安全和应用安全问题也日益凸显，成为我们必须关注的焦点，如何利用AI这一新兴生产力来推动网络安全技术的创新和产业的发展，将成为我们未来人才培养的关键方向。”安恒信息高级副总裁、首席人才官苗春雨在采访中介绍，针对AI的应用，今年的赛题中特意加入了两方面的赛题：一方面是“AI for security”，另一方面是“security in AI”。

“为了保证人才选拔的公平公正，本届赛事专门制定了一系列的裁判机制、监督机制。”杭州市公安局网络安全总监、大赛裁判长吴迪介绍，“大赛还专门设定了仲裁机构，对赛事争议进行处理，确保大赛结果公平公正。”

以剑为笔  绘就网络安全人才培养新蓝图

自创办伊始，西湖论剑大赛便将挖掘网络安全人才视为核心使命，凭借实战化竞赛模式，开辟出人才培养的“源头活水”。在这八年的历程中，大赛在杭州市公安局等主办方的精心组织下，积极搭建网安人才成长平台，通过激烈的竞技比拼与专家的悉心指导，为社会源源不断地输送了大批兼具家国情怀、人文素养和职业道德的优秀人才，已然成为中国网络安全领域当之无愧的“黄埔军校”，参赛人员累计超1.7万。 

置身AI与数字化浪潮的当下，赛事积极求变，持续厚植人才发展沃土。一方面，深化技术攻关，鼓励参赛队伍将前沿技术融入网络安全攻防实践。另一方面，大力推进产教融合，携手高校、政府、企业，将大赛中的创新成果与实践经验引入教学与产业应用，让理论知识与实战技能紧密结合，加速培育适应时代需求的网络安全专业人才。赛后，西湖论剑大赛特别活动——“恒星与你：网络安全人才交流会”在安恒大厦举行，杭州市滨江区人社、区团工委为参赛选手带来了滨江区人才政策解读，区内知名企业展开人才招募宣讲。现场，参赛选手与企业面对面深度交流，实现人才与企业的精准对接。

群侠并起，剑指苍穹。西子湖畔这场巅峰对决，既是一场技术盛宴，更是守护数字安全的庄严承诺。未来，西湖论剑大赛将继续乘风破浪，以赛为媒，凝聚更多行业力量，深耕网络安全人才的培育，助力网络安全技术的种子在数字大地生根发芽，为网络强国建设积蓄力量，为数字中国筑起安全长城！