站长之家首页 > 传媒 > BlackHat最新资讯 > 正文

Black Hat Asia 2019 腾讯安全首度披露Chakra JIT引擎漏洞攻击面

2019-04-01 11:41 · 稿源:站长之家用户投稿

3 月 26 日- 29 日,全球信息安全顶级年度盛会Black Hat Asia 2019( 2019 亚洲黑帽大会)在新加坡举行。本届大会吸引了数千名全球安全专家汇聚一堂,共同围绕当下最前沿的研究成果和最高深的安全技术展开讨论、分享和交流。腾讯安全联合实验室的多名安全研究员在本届大会上,针对IoT安全防控、沙箱内持久化攻击、JIT漏洞利用等问题展开了全新研究思路和技术应用的分享。

首度披露Chakra JIT引擎漏洞攻击面 开拓浏览器漏洞研究视野  

为加快浏览器代码的执行速度,现代浏览器多会在JavaScript引擎中使用JIT即时编译技术。而JIT编译器的优化实现会因引擎复杂度的增加而引入安全漏洞,从而给浏览器带来安全威胁。

(图:腾讯安全湛泸实验室李振环、刘深荣)

在本次Black Hat Asia2019 大会演讲中,来自腾讯安全湛泸实验室的两位安全研究员——李振环和刘深荣便以Microsoft Edge浏览器的Chakra引擎为例,就浏览器引擎中的JIT优化实现和安全威胁,做了名为《Using the JIT Vulnerability to Pwn Microsoft Edge》的议题分享。据了解,腾讯安全湛泸实验室在详细分析Chakra JIT引擎优化具体实现的基础上,首次披露了优化实现过程中可能存在的漏洞攻击面及利用问题。同时,还通过一套完整的漏洞利用演示,展示了利用JIT引擎漏洞实现任意代码执行并实施攻击的全过程。在浏览器JIT漏洞研究领域的研究人员看来,该议题成果对浏览器漏洞研究具有很大的借鉴意义。

创新IoT 威胁情报收集技术 拓展物联网安全防控新思路

伴随着技术应用的爆发式增长,IoT(物联网)设备安全威胁已不容忽视。Gartner最新报告指出,近20%的企业机构在过去三年内至少观察到一次基于IoT的攻击。而到 2021 年,全球物联网安全支出预计将达到 310 万美元。

针对loT设备的安防现状,在本次Black Hat Asia2019 上,腾讯安全反病毒实验室安全专家郭晓龙与毕磊展开了题为《Tencent IoT Hunter: A Framework Tool for Building IoT Threat Intelligence System》的分享,深度解读了基于IoT威胁情报智能收集而创建的框架工具,进一步全方位展示了腾讯的物联网安全防控布局。

(图:腾讯安全反病毒实验室安全专家郭晓龙、毕磊)

以近年腾讯安全反病毒实验室布局的IoT设备安全防控系统为基础,两位专家详细介绍了这一新开源IoT威胁情报系统的技术突破和运作机理。他们表示,这一为收集IoT威胁情报而创建的框架工具,能通过静态、动态、第三方网络平台获取信息的方式,全方位构建IoT病毒生命周期,为安全研究人员对IoT病毒的分析、研究、追踪提供详尽的威胁情报信息。

此外,据郭晓龙介绍,这一框架工具在创建IoT恶意信息云查服务和搭建IoT威胁情报平台等方面具有很高的精准度和扩展性,能提升使用者恶意信息处理和威胁情报可视化分析的效率,为IoT威胁的处理提供全新思路。

揭秘沙箱攻击新战术 全方位解锁浏览器持久攻击

随着攻防技术的不断迭代和演变,沙箱(Sandbox)技术作为现代浏览器广泛使用的安全保护措施,在减轻攻击方面已经被证明是行之有效的防护手段。沙箱策略新功能的不断叠加使得漏洞数量大幅降低。加之安全研究人员对浏览器沙箱漏洞的聚焦,实现沙箱逃逸的难度也随之增加。

在此背景下,腾讯安全玄武实验室的安全研究员王永科、马彬和刘惠明将浏览器沙箱攻击的新技术带上了Black Hat Asia 2019。在题为《Attacking Browser Sandbox: Live Persistently and Prosperously》的主题演讲中,三位研究员详尽地介绍了如何在不突破沙箱策略限制的情况下,实现对沙箱的深度持久化攻击。据介绍,通过对包括Chrome在内的几款主流浏览器的研究,他们利用沙箱的固有特性,实现了Render进程持久化和绕过Chrome Site Isolation后毒化浏览器缓存两大持久化攻击手段。同时,还提出了一种新型的持久化攻击技术——“克隆攻击”,可以远程克隆并持久化控制目标用户账户。

(图:腾讯安全玄武实验室安全研究员王永科、马彬和刘惠明)

BlackHat是由传奇极客Jeff Moss于 1997 年创办的全球安全技术大会,每年会分别在亚洲、欧洲、美国各举办一场。大会一直着力汇集全球最前沿的信息安全研究和技术,并制定了严格的报告评审机制,报告入选率不足20%。腾讯安全联合实验室本次在Black Hat Asia 2019( 2019 亚洲黑帽大会)上的演讲,既是对腾讯安全技术新探索的成果展示,也是对腾讯安全研究能力的再次肯定。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 大家在看
  • 相关推荐
  • 腾讯安全发布《2019年企业安全威胁报告》:近八成企业终端存高危漏洞

    产业互联网时代,大数据、云计算、人工智能等新技术在加速产业发展的同时,也让企业网络安全面临更复杂的挑战。近日,腾讯安全发布《 2019 年企业安全威胁报告》(以下简称《报告》),对全年企业网络安全整体态势,病毒主要类型、病毒分布行业、攻击形式、传播手段及发展趋势进行全面剖析和研判,并有针对性地提出防御方案。《报告》显示,在所有的攻击对象中,企业终端依然是病毒感染的重灾区, 2019 年平均每周有40%的企业遭遇了?

  • 工业互联网风险“硝烟四起”,腾讯护航企业业务全生命周期安全

    近年来,随着《中国制造2025》的提出及工业4. 0 概念的不断深入和落地,越来越多的工业企业开始接入互联网,基于信息技术与工业技术深度融合的工业互联网,正在改变现代工业的设计、生产和应用模式,以及大众的生活方式,上升为我国建设制造强国的国家战略。 然而,工业互联网在优化产品、提升效率、节约成本的同时,其依赖联网设备、各种计算能力的特征也催生了新的安全问题。3 月 9 日,由腾讯、同济大学、中国产业互联网发展联?

  • 快快网络云安全防护中心:布局云安全,构建有效安全闭环

    在云计算、大数据、物联网、人工智能、端云协同的大发展趋势下,基于网络构筑的万物互联技术进一步融合,网络环境变得越来越复杂,新老安全也在问题不断交织。一方面,网络病毒、漏洞入侵、内部泄露等传统网络安全威胁依然存在,另一方面,云环境网络规模化、数据信息海量化、存储服务集约化等特点,也给云平台架构和云业务发展带来新的安全挑战。频频发生的数据安全事故无时无刻不在提醒人们,传统的网络安全产品已难以满足云上用

  • 麻袋财富加强信息安全管理,持续提升安全技术能力

    随着技术的发展和不断更新,信息安全也将面临新的挑战,信息安全管理体系建设任重道远。麻袋财富自成立起一直重视信息安全,积极履行保障信息安全的责任,其运营主体上海凯岸信息科技有限公司顺利通过权威验证机构的严格审核,获得了GB/T 22080-2016/ISO/ICE 27001: 2013 认证证书。据了解,麻袋财富于 2014 年 12 月 8 日由中信产业基金等主体投资设立,公司注册资本1. 1 亿元,是中信产业基金在互联网金融领域布局的核心项目。?

  • 福特汽车完备的被动安全系统,安全有保障

    在过去的2019年,福特汽车用多款新车型以及新技术向消费者提交了一份满意的答卷。在新的一年,福特汽车又描绘出新的智能场景。今年年初,福特汽车通过实车展示和互动体验等多种方式,打破了很多人认为福特只关注汽车制造的看法。而无人驾驶,机器人送货等只是福特未来发展的一小部分。未来,福特汽车将通过前瞻技术,向智能世界迈进。作为福特智能车型的代表作之一,新锐界豪华系列将凭借全新豪华设计、丰富前瞻科技和超凡驾驭体验

  • 快快网络云安全防护中心——解决云安全三大痛点,构筑企业全面安全防线

    近年来,互联网普及率和全球云计算市场规模呈持续稳步增长状态。随着云计算的需求越来越多样化,在衍生出多种云计算应用场景的同时,也催生出更多网络安全需求。据IDC预测,到2022年,云安全市场规模预计将从2017年的40亿元增至110亿元,年均复合增长率达到24%,这说明用户已不再仅仅考虑“如何上云”,而是转而迫切寻求“如何保障云安全”的方法。针对这一形势,厦门快快网络科技有限公司(简称“快快网络”),凭借自身深入产业互?

  • 良品铺子多维度保障食品安全和质量安全

    2 月 24 日,中国证券行业第一家通过网络上市的企业,良品铺子正式挂牌交易。至此,高端零食第一股诞生。自 2006 年起,良品铺子就一直坚定"良心的品质,大家的铺子"的创业初心,把为消费者提供高品质零食作为企业的使命,把食品安全视为企业的生命线。供应链全管控,严格筛选供应商产品质量要有保障,供应商管理是很重要的一环。为确保产品品质,良品铺子通过不断完善供应商管理制度和质控措施,建立了一套行之有效的供应商质量控

  • 腾讯入股新希望 腾讯投资入股有多少?

    3月16日消息,根据天眼查数据显示,在今年3月12日,新腾数致网络科技有限公司发生工商变更,新增股东为深圳市腾讯产业创投有限公司,同时,公司注册资本由原来的 1 亿元新增至2. 5 亿元,企业类型也由有限责任公司(非自然人投资或控股的法人独资)变更为其他有限责任公司。本次腾讯出资 5000 万,成为公司第二大股东。

  • 安全大咖线上对话,支招企业复工做好网络安全防护

    疫情之下,企业复工复产过程中要针对安全防护做好什么准备?2 月 28 日,中国产业互联网发展联盟(IDAC)安全专业委员会指导、腾讯发起的“疫情影响下的企业网络安全建设研讨会”在线上举行,来自腾讯、中国信息通信研究院、北京神州绿盟信息安全科技股份有限公司、天融信科技集团和卫士通信息产业股份有限公司的安全专家,围绕疫情影响下的安全新技术、新场景、新局面与新挑战带来实践分享。疫情来袭,对于网络安全带来哪些挑战?新冠

  • 良品铺子上市,加码食品安全和质量安全保障体系

    2 月 24 日上午 9 点 10 分,在上交所网站首页,一场创新的上市仪式正式上线,这是上交所乃至A股首次举办网络上市仪式,而主角便是良品铺子。良品铺子此次“云上市”,也标志着休闲零食头部企业全部齐聚A股市场。一年前,良品铺子启动战略转型,定位“高端零食。在聚焦高端战略背后,是良品铺子始终如一对食品安全和质量的高度重视。食品安全、质量并重,良品铺子多维保障良品铺子创始人杨红春在上市致辞时指出,“食品安全是企业?

  • 小米智能安全新品来了:外出时 家的安全新高度

    你是不是经常有这样的顾虑?着急外出但快递还没到,出门后快递来了没人收,只能隔天再送,非常纠结。

  • 快快网络云安全防护中心——为您构建系统安全防护矩阵

    随着云计算和虚拟技术的发展,诸多企业将重要的业务资料和数据放置在云平台上。但如果没有做好云安全防护,就会很容易受到网络攻击,从而影响业务的连续性、稳定性,甚至让企业蒙受不小的损失。那么,企业应该如何主动应对云安全挑战呢?下面小编给大家分享五个云安全防护要点:1、平衡保护和合规性在保护和合规性之间取得平衡是一项巨大的挑战。合规性法规往往被视为最低安全性的基本选择。但是,彻底的保护涉及部署多个安全层,这

  • 360你财富360度守护你的安全——要安全复工更要安心理财

    360 你财富 360 度守护你的安全——要安全复工更要安心理财 国家发改委日前发布消息称,我国口罩日产能产量均已突破 1 亿只。虽然口罩产量井喷,但民众距离“口罩自由”仍停留在“可期”阶段。随着复工复产的逐渐推进,“你为什么买不到口罩”“出门上班有多难”等话题迅速登上热搜。 “复工面临的是生命风险,不复工面临的是生存危机”,这看似调侃的背后,是众多复工者面临的两难抉择:没有口罩防护,人身安全得不到保障;但不复?

  • 深信服远程办公安全解决方案,让移动办公安全可靠

    战“疫”期间远程办公被推向风口浪尖,电脑、手机等通过传统方式接入内网,各种远程会议系统、办公协同软件等对大多数人已经不再陌生。相信因为这次特殊事件,越来越多的企业会在复工后重新评估和加强远程办公的能力。而远程办公在给我们带来工作便利的背后,又隐藏着哪些可能被忽略的安全风险?深信服安全团队将远程办公中可能遇到的安全问题做了以下总结。访问前终端准入风险:远程办公用户可直接访问企业内网业务,但无法确保远?

  • 腾讯宣布设立1亿美元“腾讯全球战疫基金”

    腾讯公司发布消息,宣布设立 1 亿美元“腾讯全球战疫基金”,助力抗击全球日益严峻的新型冠状病毒疫情。 该基金初期将集中用于采购和捐助医疗物资,如医疗个人防护装备、医院和前线医护人员必须的医疗物资。

  • 腾讯入股新希望是怎么回事?腾讯持股比例多少?

    腾讯在“买买买”的道路上一路狂奔。天眼查数据显示, 3 月 12 日,新腾数致网络科技有限公司发生工商变更,新增股东为深圳市腾讯产业创投有限公司,同时,公司注册资本由原来的 1 亿元新增至2. 5 亿元,企业类型也由有限责任公司(非自然人投资或控股的法人独资)变更为其他有限责任公司。此次投资,腾讯出资 5000 万,成为公司第二大股东,而公司第一大股东则是由新希望投资集团有限公司全资控股的北京新加科技有限公司。

  • 美术宝教育公开课上线腾讯视频、腾讯新闻

    开学的日子一再推迟,转眼进入了 2 月底。自 2 月 2 日,美术宝公开课上线以来,受到了众多家长和孩子的喜爱,每天下午 4 点,守在屏幕前,等待新一期的免费美育课程直播,成为了这个“特殊假期”数十万家庭共同的期待。美术宝公开课家长和学员为了让更多的孩子,能够在不同时间、不同渠道享受到美术宝教育优质的美育课程,近日,美术宝教育携手腾讯,在腾讯视频“腾讯少儿频道”和腾讯新闻“教育频道”上线了美术宝公开课,方便用

  • 腾讯教育搭建北京“空中课堂”腾讯频道,提供课程点播服务

    北京“空中课堂”第二阶段的学习课程3月16日正式上线,在原有初三、高三复习课的基础上增加高一、高二的复习课。另外,初二年级学生地理、生物学科学业水平考试复习课与初三年级地理、生物复习课程相同。介绍称,由腾讯智慧校园、企业微信、腾讯课堂三大平台联手,搭建的北京数字学校“空中课堂”腾讯频道,全程提供点播服务。学生通过电脑端和移动端均可自由观看。

  • 良品铺子力推零食3.0 健康化研发提升食品安全和质量安全

    随着消费升级,食品企业纷纷开启健康营养产品研发。作为零食行业领导品牌,刚刚上市挂牌的良品铺子早已开始布局, 2019 年初,率先在行业内提出“高端零食”定位,指出了其未来十年的发展方向,健康化是重要部分。标准世界级,供应链全球化数据显示,良品铺子的 1000 多种零食中,包含 190 种原料,来自 30 个国家,带动全球44+个农业产业集群。例如在 30 多种常见的虾类中,良品铺子选择了口感最佳,鲜味最足、生长海域最纯净的马

  • 腾讯游戏深度定制,腾讯黑鲨游戏手机3系新品正式亮相

    黑鲨科技作为国产游戏手机领头羊,自诞生以来已推出四款游戏手机、超过 10 种游戏外设产品,让不少玩家了解到原来在手游上的体验也可以做到如此专业。 3 月 3 日,黑鲨科技携手腾讯游戏正式发布了搭载全新高通 865 移动平台的5G时代首款游戏手机——腾讯黑鲨游戏手机 3 系新品。此次通过腾讯游戏的深度定制加持和黑鲨科技强大的技术创新能力,全新发布的腾讯黑鲨游戏手机 3 系产品在游戏体验上做到了一次划时代的全方位升级。全球?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议