图:360Vulcan团队在HITB现场演讲
浏览器漏洞是非常有价值和影响力的攻击面,虽然Edge一直以安全性著称,但白帽子们也必须争分夺秒地发现未知威胁,才能防止不法黑客钻空子。360Vulcan团队是最早关注Edge安全的团队之一,在POC、Syscan等安全峰会上都曾分享过浏览器的前沿研究成果。
Chakra引擎是微软下一代的开源脚本引擎,360Vulcan团队通过代码审计,累计发现20多个安全漏洞,并实现以多种不同的方式攻破Edge浏览器。在议题中,360Vulcan介绍了Chakra引擎相较于老牌IE脚本引擎的新特点,并从程序开发者的角度探索了新的攻击思路。
微软一直鼓励研究人员报告其产品漏洞,还特别推出赏金计划专门为Mitigation Bypass(绕过系统安全机制的攻击技术)提供奖金。2016年,微软共修补漏洞500余枚,但获得赏金的只有12名研究人员,360Vulcan团队的成员刘龙就是其中之一。在HITB上,他们首次公开了获得奖金的秘密武器,和国际著名的安全专家共同探讨信息安全新课题。
360Vulcan团队作为360安全卫士的攻防研究团队,除了屡次登上各大安全会议展现硬实力外,还在黑客大赛中取得了不凡的成绩,创造了亚洲首次攻破IE和Chrome,全球首破VMware等战绩,在今年的Pwn2Own中,他们又攻破了基于Win10的Edge浏览器并实现VMware
虚拟机逃逸,拿下Pwn2Own有史以来的最高单项得分,并最终获得Master of Pwn的总冠军。
HITB是欧洲规模最大、水平最高的信息安全会议,每年在荷兰阿姆斯特丹和马来西亚吉隆坡举办两次。据了解,参会议题需要经过申报、评选等程序,只有具有引领性的前沿核心技术,以及在网络安全领域最受尊重的研究者才能入选该会议。国内共有三个议题登上了HITB的舞台,除了360Vulcan团队外,专注于无线电安全研究的360Unicorn Team以及独立安全研究员洪宇也分别登台演讲。
免责声明:
本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!
[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。