首页 体育 教育 财经 社会 娱乐 军事 国内 科技 互联网 房产 国际 女人 汽车 游戏

Blade Team获封CNVD“最具价值漏洞”奖

2020-01-09

2019年12月30日,国家信息安全缝隙同享途径2019年作业会议在北京举办,安全研讨团队Tencent Blade Team受邀参加,凭仗此前发现的高通WLAN芯片长途代码履行缝隙,被颁发“最具价值缝隙”荣誉,在十个获奖团队中名列第一。此次得奖,也是对Tencent Blade Team全年不间断输出高质量安全研讨、活跃推进职业建造的必定。

CNVD是由国家互联应急中心联合国内重要信息系统单位、根底电信运营商、网络安全厂商、软件厂商和互联网企业树立的信息安全缝隙信息同享知识库。据悉,仅在12月,团队就报送了两个影响规模极大缝隙,别离对Chrom浏览器的Web蓝牙模块和闻名开源数据库组件SQLite进行了研讨,从攻防的广度和纵深度两个层面拓宽了安全研讨的鸿沟。

团队技能负责人cradmin表明:“ Tencent Blade Team致力于前沿范畴的前瞻安全技能研讨,期望最大化闪现缝隙价值,然后提高产品的安全性、发明更安全的互联网生态,发现缝隙仅仅团队进行安全研讨的第一步。”他介绍道,在安全研讨的过程中,Tencent Blade Team扮演着三个人物:安全鸿沟的探究者,安全防地的共建者,安全生态的打造者。

Tencent Blade Team自成立以来发现了多项严峻安全研讨成果。仅在12月,Tencent Blade Team研讨员就先后发布了两个严峻发现:Chrome浏览器的Web蓝牙模块和SQLite组件均存在严峻缝隙,可别离导致Chrome沙盒逃逸和长途代码履行。

前者可让进犯者经过蓝牙模块的内存损坏缝隙,完成“越狱”,从而获取更多权限。此前业界关于这一进犯面的研讨很少,谷歌揭露的缝隙中,仅有三个能经过Web蓝牙组件完成代码履行、沙箱逃逸,其间Tencent Blade Team就占有了前两席。

后者则连续了Tencent Blade Team对闻名开源数据库SQLite的研讨,新发现的SQLite组件缝隙被命名为麦哲伦2.0,进一步完善了SQLite的纵深防护系统。继发现麦哲伦1.0并成功当选Blackhat和DEFCON议题之后,研讨员再度发现,SQLite中存在严峻缝隙,可让进犯者绕过增设的防护系统,形成程序内存走漏或程序溃散乃至代码履行。SQLite被广泛使用于一切干流操作系统和软件中,因而该缝隙影响极为广泛,各个系统的谷歌Chrome浏览器,以及安卓上运用Webview的APP,以及一些根据Chromium内核开发的浏览器等都受到影响。现在,缝隙已报给谷歌及SQLite官方,并被承认及修正。

此前在美国拉斯维加斯举办的国际尖端黑客大会Blackhat DEFCON2019的舞台上,Tencent Blade Team斩获了五个议题座位,研讨包含移动互联网、手机基带、物联网、根底软件库等多方面,创下了国内团队数量之最。

除了不断探究安全研讨的鸿沟外,Tencent Blade Team也在充沛利用进犯者视角的优势,参加到防护建造中来,做“安全防地的共建者”。此次在发现麦哲伦2.0的过程中,他们就提出了一种全新的fuzz缝隙发掘思路和东西,被谷歌采用,集成到了内部fuzz东西库。据谷歌反应,这一东西上线后,短期内即发现了SQLite中10余个安全和安稳性问题。

Tencent Blade Team由专心于内部安全的安全途径部孵化而成,长时间的前沿攻防实战经验也有助于内网安全才能的建造,包含网络保证、缝隙收敛、使用防护、侵略对立、应急呼应、要挟情报、安全质量提高等多方面,以攻促防,打造内部完善的安全防护系统,并依托云、互联网+等途径,将十五年安全防护最佳实践以产品形状输出,助力数字化工业安全。此次,安全应急呼应中心也斩获了“2019年度缝隙应急作业杰出单位”,安全玄武实验室相同获得了“最佳价值缝隙奖”,显示了全体对安全的大力投入。

Tencent Blade Team也深度参加到了多个产品的安全审计、合规认证中,包含付出、智能设备、云安全、区块链等多个范畴,充沛将进犯思想用于防护建造中,构建完善的纵深防护系统。

除了在攻防上的持续探究,接下来敞开安全才能助力职业也是Blade Team的要点方向之一。现在,Tencent Blade Team已树立与谷歌、苹果、微软、高通、华为、小米等国内外一流厂商的协作形式。一起,将安全才能敞开给工业,经过规范拟定、安全认证等多个形式,一起建立工业安全系统。

cradmin说到,本年团队主导完成了《物联网安全技能规范》和《智能门锁安全技能要求》,助力云成功推出物联网设备安全测评服务;还联合规范团队拟定物联网安全相关规范在ITU-T成功立项,提交区块链安全规范提案在CCSA TC8会议成功立项。

工业互联网年代,构建安全生态,需求上下游多方的参加,“安全研讨发现问题--厂商协作解决问题--工业协作完善生态”的协作形式正在成为Tencent Blade Team的常态机制。

未来,Tencent Blade Team也将持续做好安全鸿沟的探究者,安全防地的共建者,安全生态的打造者,充沛保证产品、用户和职业的安全。

热门文章

随机推荐

推荐文章