关于网传“火绒安全软件存在命令执行0-Day漏洞”的说明

2021年3月5日19:04:52评论100 views字数 514阅读1分42秒阅读模式

我们关注到微信号“国网公司网络安全实验室”发布的文章《火绒安全软件存在命令执行“0-Day”漏洞》。火绒工程师在第一时间查看后确认该现象不属于火绒安全软件的漏洞。

该文章中附的CNVD官方发布的“原创漏洞证明”证书，经查看该证书上的“收录时间”为2021年1月，我们于2021年2月收到CNVD的官方通知邮件，如下图：

火绒工程师查看后确认该现象不属于漏洞，具体原因为：命令行修改用户账户密码是火绒的系统加固防护项，该功能只对系统原生程序名称触发的操作进行拦截。

随后我们于第一时间将查看结果返回给CNVD官方邮件。目前在CNVD官方网站不存在相关“漏洞”，如下图：

我们已经就该问题尝试联系微信号“国网公司网络安全实验室”，截至发稿前没有收到回复。

火绒作为一家安全厂商，一直在致力于维护终端安全，还请广大用户不必担忧。同时，如果大家在使用火绒产品过程中发现任何问题，可随时通过火绒官方渠道反馈，我们会在第一时间内跟进处理。

我们也会继续就该情况与CNVD及“国网公司网络安全实验室”进行沟通。

2021年3月5日

火绒安全团队

本文始发于微信公众号（火绒安全实验室）：关于网传“火绒安全软件存在命令执行0-Day漏洞”的说明

漏洞通告｜禅道项目管理系统身份认证绕过漏洞