360阿尔法团队发现UC浏览器漏洞影响数亿手机用户

日前，360手机卫士阿尔法团队(Alpha Team)在UC浏览器中发现2个未修补高危漏洞，可以导致远程任意代码执行。据360阿尔法团队安全研究员介绍，此漏洞位于UC浏览器使用的U3内核中, U3内核是由UC研发团队打造的，主要应用于UC浏览器等产品，使用U3内核的产品均受此漏洞影响。

360阿尔法团队第一时间将漏洞情况通报给阿里安全应急响应中心，目前阿里安全应急响应中心已通过在线自动更新机制修复了该漏洞，用户无需额外操作即可获得保护。同时阿里方面反馈，尚未出现用户因此受到影响或损失。

阿尔法团队安全研究员介绍，虽然这两个漏洞分别于2011年和2014年曝光，但是并没有引起足够重视，导致其偷偷潜伏了长达5年之久。日前，360手机卫士阿尔法团队研究发现，通过这2个漏洞配合，攻击者可获取UC浏览器的完全控制权，可以造成手机被远程控制，手机设置被修改，被自动下载和安装恶意程序等危害。

图：360手机卫士阿尔法团队发现U3内核漏洞

手机用户在使用UC浏览器的扫一扫功能扫描二维码或使用UC浏览器上网时点击恶意网址都有可能受到攻击。在此，360手机卫士提醒用户，在耐心等待更新的同时请紧遵三个不要：不要随便扫描二维码，不要随意点击不明链接，以防手机被远程控制。可以通过360手机卫士安全扫码检验二维码安全，同时还可抵御利用此漏洞恶意程序的攻击。

360 阿尔法团队在发现漏洞的第一时间将情况通报给阿里安全应急响应中心，同时也收到阿里安全应急响应中心的公开致谢。联合生态伙伴共同打造健康、安全的网络环境是360及阿里等互联网企业的共同目标!　　　　　　　　　