滚动快讯 如何减少白头发,丰秘逸发液教你简单三招 川妹子曾雅欣再出力作 新歌《舍不得》即将上线 让新闻媒体关注报道就找中秘传媒 报纸宣传一条龙服务 发报纸找中秘传媒 强大纸媒发布资源解决品牌宣传难题 中秘传媒中央级/国家级/全国性报纸媒体新闻刊登发布服务产品库 玩转小红书,如何防违规!防禁言!防封号! 嘟茶院投资收益如何?创业回本轻松 JINS睛姿时尚眼镜新上市 邂逅早春浪漫 过年,我收到总理的红包啦 微商创业新项目 祥生堂再创中医药新蓝海
 当前位置:科 技
 
腾讯安全首度披露Chakra JIT引擎漏洞攻击面
发布时间:2019-4-1 16:43:09  浏览次数:211

 

3月26日-29日,全球信息安全顶级年度盛会Black Hat Asia 2019(2019亚洲黑帽大会)在新加坡举行。本届大会吸引了数千名全球安全专家汇聚一堂,共同围绕当下最前沿的研究成果和最高深的安全技术展开讨论、分享和交流。腾讯安全联合实验室的多名安全研究员在本届大会上,针对IoT安全防控、沙箱内持久化攻击、JIT漏洞利用等问题展开了全新研究思路和技术应用的分享。

首度披露 C hakra JIT引擎漏洞攻击面 开拓浏览器漏洞研究视野

为加快浏览器代码的执行速度,现代浏览器多会在JavaScript引擎中使用JIT即时编译技术。而JIT编译器的优化实现会因引擎复杂度的增加而引入安全漏洞,从而给浏览器带来安全威胁。

(图:腾讯安全湛泸实验室李振环、刘深荣)

在本次Black Hat Asia 2019大会演讲中,来自腾讯安全湛泸实验室的两位安全研究员——李振环和刘深荣便以Microsoft Edge浏览器的Chakra引擎为例,就浏览器引擎中的JIT优化实现和安全威胁,做了名为《Using the JIT Vulnerability to Pwn Microsoft Edge》的议题分享。据了解,腾讯安全湛泸实验室在详细分析Chakra JIT引擎优化具体实现的基础上,首次披露了优化实现过程中可能存在的漏洞攻击面及利用问题。同时,还通过一套完整的漏洞利用演示,展示了利用JIT引擎漏洞实现任意代码执行并实施攻击的全过程。在浏览器JIT漏洞研究领域的研究人员看来,该议题成果对浏览器漏洞研究具有很大的借鉴意义。

创新 IoT 威胁情报 收集技术 拓展物联网安全防控新思路

伴随着技术应用的爆发式增长,IoT(物联网)设备安全威胁已不容忽视。Gartner最新报告指出,近20%的企业机构在过去三年内至少观察到一次基于IoT的攻击。而到2021年,全球物联网安全支出预计将达到310万美元。

针对loT设备的安防现状,在本次Black Hat Asia 2019上,腾讯安全反病毒实验室安全专家郭晓龙与毕磊展开了题为《Tencent IoT Hunter: A Framework Tool for Building IoT Threat Intelligence System》的分享,深度解读了基于IoT威胁情报智能收集而创建的框架工具,进一步全方位展示了腾讯的物联网安全防控布局。

(图:腾讯安全反病毒实验室安全专家郭晓龙、毕磊)

以近年腾讯安全反病毒实验室布局的IoT设备安全防控系统为基础,两位专家详细介绍了这一新开源IoT威胁情报系统的技术突破和运作机理。他们表示,这一为收集IoT威胁情报而创建的框架工具,能通过静态、动态、第三方网络平台获取信息的方式,全方位构建IoT病毒生命周期,为安全研究人员对IoT病毒的分析、研究、追踪提供详尽的威胁情报信息。

此外,据郭晓龙介绍,这一框架工具在创建IoT恶意信息云查服务和搭建IoT威胁情报平台等方面具有很高的精准度和扩展性,能提升使用者恶意信息处理和威胁情报可视化分析的效率,为IoT威胁的处理提供全新思路。

揭秘沙箱攻击新战术 全方位 解锁浏览器 持久攻击

随着攻防技术的不断迭代和演变,沙箱(Sandbox)技术作为现代浏览器广泛使用的安全保护措施,在减轻攻击方面已经被证明是行之有效的防护手段。沙箱策略新功能的不断叠加使得漏洞数量大幅降低。加之安全研究人员对浏览器沙箱漏洞的聚焦,实现沙箱逃逸的难度也随之增加。

在此背景下,腾讯安全玄武实验室的安全研究员王永科、马彬和刘惠明将浏览器沙箱攻击的新技术带上了Black Hat Asia 2019。在题为《Attacking Browser Sandbox: Live Persistently and Prosperously》的主题演讲中,三位研究员详尽地介绍了如何在不突破沙箱策略限制的情况下,实现对沙箱的深度持久化攻击。据介绍,通过对包括Chrome在内的几款主流浏览器的研究,他们利用沙箱的固有特性,实现了Render进程持久化和绕过Chrome Site Isolation后毒化浏览器缓存两大持久化攻击手段。同时,还提出了一种新型的持久化攻击技术——“克隆攻击”,可以远程克隆并持久化控制目标用户账户。

(图:腾讯安全玄武实验室安全研究员王永科、马彬和刘惠明)

BlackHat是由传奇极客Jeff Moss于1997年创办的全球安全技术大会,每年会分别在亚洲、欧洲、美国各举办一场。大会一直着力汇集全球最前沿的信息安全研究和技术,并制定了严格的报告评审机制,报告入选率不足20%。腾讯安全联合实验室本次在Black Hat Asia 2019(2019亚洲黑帽大会)上的演讲,既是对腾讯安全技术新探索的成果展示,也是对腾讯安全研究能力的再次肯定。

来源:央视网

 

      

上一篇:
下一篇: 十大技能Get √轻松玩转Galaxy S6 edge

 
推荐资讯
· 王笑去眼袋的办法,让我从此告别眼部
· [专家预告] 2月25-
· 合规经营 不忘初心
· 规范化与国际化,贵金属行业发展展望
· 二孩政策开放,代孕话题引发网友热议
· 各有所长 贵金属现货投资
· 女大学生险遭强奸 借贷宝
· 免费用药、服务升级,手机看病APP
· 从奥巴马的“绝唱”看国内金融科技优
· 知己知彼,看透贵金属投资表象
 
相关资讯
· 腾讯安全首度披露Chakra&nb
· 开年第一反诈大剧:腾讯安全专家+重
· 预警!“Agwl”团伙利用phpS
· 腾讯安全发布Windows漏洞报告
· 商权小课堂:这些手机充电的误区你必
· 商权 一元就够了?
· 腾讯马斌出席联合国“南南合作”峰会
· 假数据、薅羊毛、刷单……网赚黑产如
· 腾讯安全亮相2018HIMSS高峰
· 迪斯科集团董事长陈家辉荣获优秀社会
 
联系我们
 
品牌宣传编辑部
客服联系电话:010-52487360
QQ:840573529
业务咨询电话:010-52487360
QQ:593634808
投稿、投诉邮箱:lucky.27@126.com
QQ:840573529
关于我们 广告评选 联系我们 品牌指数 随机投稿 网编人员 网编招聘 网站合作
Copyright 2003-2010 品牌网 Inc All Rights Reserved
京ICP备10040773号-15