財 經 科技 | 股 票 房 產 原 創 |   中國經濟時報電子版
商 業 地 方 | 文 化 汽 車 APP |   中國經濟時報數字報

新聞速遞

新浪体育彩票 www.zanof.com.cn 首頁 > 首頁欄目 > 新聞速遞

騰訊Blade Team獲封CNVD“最具價值漏洞”獎,安全研究顯現產業價值

新浪体育彩票 2019-12-31 17:47:08

   2019年12月30日,國家信息安全漏洞共享平臺(CNVD)2019年工作會議在北京舉行,騰訊安全研究團隊Tencent Blade Team受邀參加,憑借此前發現的高通WLAN芯片遠程代碼執行漏洞,被授予“最具價值漏洞”殊榮,在十個獲獎團隊中名列第一。此次得獎,也是對Tencent Blade Team全年不間斷輸出高質量安全研究、積極推動行業建設的肯定。

  CNVD是由國家互聯應急中心聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。據悉,僅在12月,團隊就報送了兩個影響范圍極大漏洞,分別對Chrom瀏覽器的Web藍牙??楹橢詞菘庾榧QLite進行了研究,從攻防的廣度和縱深度兩個層面拓寬了安全研究的邊界。

  團隊技術負責人cradmin表示:“ Tencent Blade Team致力于前沿領域的前瞻安全技術研究,希望最大化顯現漏洞價值,從而提升騰訊產品的安全性、創造更安全的互聯網生態,發現漏洞只是團隊進行安全研究的第一步。”他介紹道,在安全研究的過程中,Tencent Blade Team扮演著三個角色:安全邊界的探索者,安全防線的共建者,安全生態的打造者。

  探索安全邊界,多次發布重大研究成果

  Tencent Blade Team自成立以來發現了多項重大安全研究成果。僅在12月,Tencent Blade Team研究員就先后公布了兩個重大發現:Chrome瀏覽器的Web藍牙??楹蚐QLite組件均存在嚴重漏洞,可分別導致Chrome沙盒逃逸和遠程代碼執行。

  前者可讓攻擊者通過藍牙??櫚哪詿嫫蘋德┒?實現“越獄”,進而獲取更多權限。此前業界對于這一攻擊面的研究極少,谷歌公開的漏洞中,僅有三個能通過Web藍牙組件實現代碼執行、沙箱逃逸,其中Tencent Blade Team就占據了前兩席。

  后者則延續了Tencent Blade Team對知名開源數據庫SQLite的研究,新發現的SQLite組件漏洞被命名為麥哲倫2.0,進一步完善了SQLite的縱深防御體系。繼發現麥哲倫1.0并成功入選Blackhat和DEFCON議題之后,研究員再度發現,SQLite中存在嚴重漏洞,可讓攻擊者繞過增設的防御系統,造成程序內存泄露或程序崩潰甚至代碼執行。SQLite被廣泛應用于所有主流操作系統和軟件中,因此該漏洞影響極為廣泛,各個系統的谷歌Chrome瀏覽器,以及安卓上使用Webview的APP,以及一些基于Chromium內核開發的瀏覽器等都受到影響。目前,漏洞已報給谷歌及SQLite官方,并被確認及修復。

  此前在美國拉斯維加斯舉行的世界頂級黑客大會Blackhat & DEFCON2019的舞臺上,Tencent Blade Team斬獲了五個議題席位,研究涵蓋移動互聯網、手機基帶、物聯網、基礎軟件庫等多方面,創下了國內團隊數量之最。

  共建安全防線,從漏洞挖掘到防御建設

  除了不斷探索安全研究的邊界外,Tencent Blade Team也在充分利用攻擊者視角的優勢,參與到防御建設中來,做“安全防線的共建者”。此次在發現麥哲倫2.0的過程中,他們就提出了一種全新的fuzz漏洞挖掘思路和工具,被谷歌采納,集成到了內部fuzz工具庫。據谷歌反饋,這一工具上線后,短期內即發現了SQLite中10余個安全和穩定性問題。

  Tencent Blade Team由專注于騰訊內部安全的騰訊安全平臺部孵化而成,長期的前沿攻防實戰經驗也有助于內網安全能力的建設,包括網絡保障、漏洞收斂、應用防護、入侵對抗、應急響應、威脅情報、安全質量提升等多方面,以攻促防,打造騰訊內部完善的安全防御體系,并依托騰訊云、互聯網+等渠道,將十五年騰訊安全防護最佳實踐以產品形態輸出,助力數字化產業安全。此次,騰訊安全應急響應中心(TSRC)也斬獲了“2019年度漏洞應急工作突出單位”,騰訊安全玄武實驗室同樣獲得了“最佳價值漏洞獎”,彰顯了騰訊整體對安全的大力投入。

  Tencent Blade Team也深度參與到了騰訊多個產品的安全審計、合規認證中,涵蓋支付、智能設備、云安全、區塊鏈等多個領域,充分將攻擊思維用于防御建設中,構建完善的縱深防御系統。

  顯現產業價值,全鏈路合作打造安全生態

  除了在攻防上的持續探索,接下來開放安全能力助力行業也是騰訊Blade Team的重點方向之一。目前,Tencent Blade Team已建立與谷歌、蘋果、微軟、高通、華為、小米等國內外一流廠商的協作模式。同時,將安全能力開放給產業,通過標準制定、安全認證等多個模式,共同搭建產業安全體系。

  cradmin提到,今年團隊主導完成了《騰訊物聯網安全技術規范》和《騰訊智能門鎖安全技術要求》,助力騰訊云成功推出物聯網設備安全測評服務;還聯合騰訊標準團隊制定物聯網安全相關標準在ITU-T成功立項,提交區塊鏈安全標準提案在CCSA TC8會議成功立項。

  產業互聯網時代,構建安全生態,需要上下游多方的參與,“安全研究發現問題--廠商協作解決問題--產業合作完善生態”的合作模式正在成為Tencent Blade Team的常態機制。

  未來,Tencent Blade Team也將繼續做好安全邊界的探索者,安全防線的共建者,安全生態的打造者,充分保障產品、用戶和行業的安全。

中國經濟新聞網版權與免責聲明:

本網所刊登文章,除原創頻道外,若無特別版權聲明,均來自網絡轉載;
文章觀點不代表本網立場,其真實性由作者或稿源方負責;
如果您對稿件和圖片等有版權及其它爭議,請及時與我們聯系,我們將核實情況后進行相關刪除。

聯系電話:81785256;郵箱:[email protected]

報紙訂閱  關于我們  CET郵箱 
微信公眾號
微信公眾號
中國經濟新聞網 版權所有 未經書面允許不得轉載、復制或建立鏡像
聯系電話:(010)81785256 投稿郵箱:[email protected] [email protected]
中國經濟時報社 地址:北京市昌平區平西府王府街 郵政編碼:102209 電話:(010)81785188(總機) (010)81785188-5100(編輯部) (010)81785186(廣告部) (010)81785178(發行部) 傳真:(010)81785121 電郵:[email protected] 站點地圖 Copyright 2011 新浪体育彩票 www.zanof.com.cn. All Rights Reserved
舉報
不良信息舉報中心
新浪体育彩票       京ICP備07019363號-1       京公網安備110114001037號
{ganrao} 三板股票行情查询 工商管理研究生考试科目 嘉盛配资 保利地产股票分析报告 场外配资表现形式 日本av种子 多乐彩 江西多乐彩 河北快三 贵州快三 交易秀配资 基金配资价格 旧版大智慧手机炒股 短线黑马股票推荐 乐天盈股票配资平台 企业管理专业研究生