首页 > 传媒 > 关键词 > BlackHat最新资讯 > 正文

Black Hat Asia 2019 腾讯安全首度披露Chakra JIT引擎漏洞攻击面

2019-04-01 11:41 · 稿源:站长之家用户投稿

3 月 26 日- 29 日,全球信息安全顶级年度盛会Black Hat Asia 2019( 2019 亚洲黑帽大会)在新加坡举行。本届大会吸引了数千名全球安全专家汇聚一堂,共同围绕当下最前沿的研究成果和最高深的安全技术展开讨论、分享和交流。腾讯安全联合实验室的多名安全研究员在本届大会上,针对IoT安全防控、沙箱内持久化攻击、JIT漏洞利用等问题展开了全新研究思路和技术应用的分享。

首度披露Chakra JIT引擎漏洞攻击面 开拓浏览器漏洞研究视野  

为加快浏览器代码的执行速度,现代浏览器多会在JavaScript引擎中使用JIT即时编译技术。而JIT编译器的优化实现会因引擎复杂度的增加而引入安全漏洞,从而给浏览器带来安全威胁。

(图:腾讯安全湛泸实验室李振环、刘深荣)

在本次Black Hat Asia2019 大会演讲中,来自腾讯安全湛泸实验室的两位安全研究员——李振环和刘深荣便以Microsoft Edge浏览器的Chakra引擎为例,就浏览器引擎中的JIT优化实现和安全威胁,做了名为《Using the JIT Vulnerability to Pwn Microsoft Edge》的议题分享。据了解,腾讯安全湛泸实验室在详细分析Chakra JIT引擎优化具体实现的基础上,首次披露了优化实现过程中可能存在的漏洞攻击面及利用问题。同时,还通过一套完整的漏洞利用演示,展示了利用JIT引擎漏洞实现任意代码执行并实施攻击的全过程。在浏览器JIT漏洞研究领域的研究人员看来,该议题成果对浏览器漏洞研究具有很大的借鉴意义。

创新IoT 威胁情报收集技术 拓展物联网安全防控新思路

伴随着技术应用的爆发式增长,IoT(物联网)设备安全威胁已不容忽视。Gartner最新报告指出,近20%的企业机构在过去三年内至少观察到一次基于IoT的攻击。而到 2021 年,全球物联网安全支出预计将达到 310 万美元。

针对loT设备的安防现状,在本次Black Hat Asia2019 上,腾讯安全反病毒实验室安全专家郭晓龙与毕磊展开了题为《Tencent IoT Hunter: A Framework Tool for Building IoT Threat Intelligence System》的分享,深度解读了基于IoT威胁情报智能收集而创建的框架工具,进一步全方位展示了腾讯的物联网安全防控布局。

(图:腾讯安全反病毒实验室安全专家郭晓龙、毕磊)

以近年腾讯安全反病毒实验室布局的IoT设备安全防控系统为基础,两位专家详细介绍了这一新开源IoT威胁情报系统的技术突破和运作机理。他们表示,这一为收集IoT威胁情报而创建的框架工具,能通过静态、动态、第三方网络平台获取信息的方式,全方位构建IoT病毒生命周期,为安全研究人员对IoT病毒的分析、研究、追踪提供详尽的威胁情报信息。

此外,据郭晓龙介绍,这一框架工具在创建IoT恶意信息云查服务和搭建IoT威胁情报平台等方面具有很高的精准度和扩展性,能提升使用者恶意信息处理和威胁情报可视化分析的效率,为IoT威胁的处理提供全新思路。

揭秘沙箱攻击新战术 全方位解锁浏览器持久攻击

随着攻防技术的不断迭代和演变,沙箱(Sandbox)技术作为现代浏览器广泛使用的安全保护措施,在减轻攻击方面已经被证明是行之有效的防护手段。沙箱策略新功能的不断叠加使得漏洞数量大幅降低。加之安全研究人员对浏览器沙箱漏洞的聚焦,实现沙箱逃逸的难度也随之增加。

在此背景下,腾讯安全玄武实验室的安全研究员王永科、马彬和刘惠明将浏览器沙箱攻击的新技术带上了Black Hat Asia 2019。在题为《Attacking Browser Sandbox: Live Persistently and Prosperously》的主题演讲中,三位研究员详尽地介绍了如何在不突破沙箱策略限制的情况下,实现对沙箱的深度持久化攻击。据介绍,通过对包括Chrome在内的几款主流浏览器的研究,他们利用沙箱的固有特性,实现了Render进程持久化和绕过Chrome Site Isolation后毒化浏览器缓存两大持久化攻击手段。同时,还提出了一种新型的持久化攻击技术——“克隆攻击”,可以远程克隆并持久化控制目标用户账户。

(图:腾讯安全玄武实验室安全研究员王永科、马彬和刘惠明)

BlackHat是由传奇极客Jeff Moss于 1997 年创办的全球安全技术大会,每年会分别在亚洲、欧洲、美国各举办一场。大会一直着力汇集全球最前沿的信息安全研究和技术,并制定了严格的报告评审机制,报告入选率不足20%。腾讯安全联合实验室本次在Black Hat Asia 2019( 2019 亚洲黑帽大会)上的演讲,既是对腾讯安全技术新探索的成果展示,也是对腾讯安全研究能力的再次肯定。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 0风险0事故,腾讯安全“全垒打”护航首届“云端”广交会

    6 月 24 日下午,第 127 届广交会正式落下帷幕。 50 个展区、近2. 6 万家参展商“云上”参展,数十万来自全球的采购商成功在“线上”做成了生意。腾讯安全作为本届广交会的安全重保团队,在这十天内交出了一份亮眼的安全“重保”成绩单:广交会重保期间,腾讯安全共拦截超百万次各类安全攻击、图片/文本/音频风险检测数近十亿条,最终确保 0 安全风险, 0 安全事故!出色的重保成绩,也获得了公安机关的认可。据悉,为保障广交会顺?

  • 青藤云安全与腾讯安全再次携手合作,助力用户完成年度大型攻防实战

    继联合发布主机安全产品之后,腾讯安全和青藤云安全近期合作再次升级。此次合作,将以腾讯安全提供的年度大型攻防实战方案为基础,以青藤全方位客户服务为支撑,助力行业客户更好地完成大型攻防实战演练当前,随着云计算、大数据等新技术的广泛应用,越来越多的企业实现数字化转型。与此同时,网络安全边界更加模糊,传统基于网络或设备边界的安全防御技术难以应对新技术所带来的各类挑战。很多组织机构为了实现纵深防御,购买了越

  • 腾讯安全推战略新品,SaaS化云防火墙打造云上第一道防线

    伴随企业核心业务大量上云,在云端混合环境、移动访问及在线应用程序迅速发展的趋势下,上云企业亟需更具细粒度的安全技术来替代传统防火墙。 6 月 16 日,腾讯安全举办线上新品发布会,宣布推出战略级新品——新一代SaaS化云防火墙,即开即用,助力企业解决云上业务隔离、统一访问管控等基础安全问题,为企业打造上云的第一道安全防线。企业上云后,面临四大基础网络安全挑战企业上云后,应用程序和数据可以在云端和混合环境中处?

  • 连续41次通过VB100认证,腾讯安全技术实力再获国际权威认可

    日前,国际权威反病毒评测机构Virus Bulletin公布了 6 月的VB100 测试结果,腾讯安全旗下的腾讯电脑管家(英文版)以100%通过率、 0 误报的优秀成绩位居榜首,截至目前,腾讯安全已连续获得 41 次认证,再次刷新连续通过记录,持续领跑国际杀毒软件安全能力。(图:腾讯电脑管家(英文版)连续 41 次通过VB100 测试认证)VB100 测试评测在业内素有“安全界奥林匹克”之称,要求十分严格,只有通过和不通过两种结果。作为一家非官方

  • 腾讯安全领御TUSI区块链落地五大场景,助力可信城市建设

    2020 年是中国产业区块链元年,中央将区块链定调为“核心技术组织创新的突破口”,并将区块链纳入新基建重要技术基础设施。区块链如何与人工智能、大数据、物联网等前沿技术深入结合,更好地服务产业发展?6 月 1 日,腾讯云举办产业区块链联盟暨实践课堂发布会,国内区块链行业领军企业、区块链技术与应用先行者齐聚一堂,共话区块链行业趋势、共建区块链伙伴生态模式,探索区块链技术落地应用的进阶之路。腾讯高级执行副总裁、云

  • 腾讯安全携手极棒发起第二届云安全比赛 演绎云安全时代下的攻与防

    随着互联网的发展,被称作“革命性计算模型”的云计算被看作第四次工业革命,未来将推动着生产方式、生产关系、产品形态和商业模式的深刻变革。"万物上云"所带来诸多利好的同时,如何保障云上数据安全,提供云上攻防服务,成为云上攻防体系建设首要基准。基于对云安全问题的思考和研究,GeekPwn携手腾讯安全云鼎实验室启动第二届GeekPwn2020 云安全比赛, 7 月11- 12 日先期启动的云靶场挑战赛热身赛,将以解题模式来考察选手在实?

  • 老干妈回应腾讯起诉:没有与腾讯合作 腾讯可能被骗了

    今天下午,针对“腾讯的起诉”老干妈公司相关负责人回应称,并没有与腾讯有任何的合作,关于此事老干妈公司认为,腾讯公司被骗了!老干妈公司已经向警方报案,稍晚会发布声明。

  • 老干妈回应被腾讯起诉:腾讯被骗了!

    6 月 29 日,裁判文书网一份裁判文书显示,腾讯请求查封老干妈 1624 万财产,法院裁定同意。 6 月 30 日,腾讯回应称系因老干妈拖欠千万元广告费,腾讯多次催促对方付款却分文未获,遂起诉老干妈。

  • 老干妈回应被腾讯起诉:未与腾讯有过商业合作

    6月30日,“腾讯起诉老干妈”成为了当日互联网上一个热议话题,这两家企业在各自的领域在国内都是数一数二的。对于被腾讯起诉一事,老干妈也在当天晚上发布了声明,表示与腾讯没有商业合作,腾讯是被骗了。

  • 老干妈负责人回应被腾讯起诉:不清楚腾讯是否会撤诉

    今日下午,老干妈相关负责人表示,对于腾讯方面是否会撤诉,暂时还不清楚。对于“之前有没有注意到腾讯的广告推广事宜”一事,该负责人称:“正在核实当中”。今日午间,腾讯起诉老干妈拖欠广告费一事真相终于水落石出,贵阳公安双龙分局发布公告称,经初步查明,系 3 名犯罪嫌疑人伪造老干妈公司印章,冒充该公司市场经营部经理,与腾讯公司签订合作协议。其目的是为了获取腾讯公司在推广活动中配套赠送的网络游戏礼包码,之后通?

  • 3人伪造老干妈印章与腾讯签合同 腾讯疑似回应被骗全文

    3 人伪造老干妈印章与腾讯签合同是怎么回事?据媒体报道, 3 名不法人员冒充贵阳南明老干妈风味食品有限责任公司(以下简称老干妈)市场经营部经理与腾讯签订合作协议,为了获取腾讯在推广活动中配套赠送的网络游戏礼包码,之后通过互联网倒卖非法获取经济利益。

  • 老干妈称从未与腾讯有过合作 网友:和腾讯合作的是“老千”妈?

    【TechWeb】7月1日消息,针对拖欠腾讯广告费并被立案一事,6月30日晚,老干妈方面发表声明称,经核查,我司从未与腾讯公司或授权他人与腾讯公司就“老干妈”品牌签署《联合市场推广合作协议》,且我司从未与腾讯公司进行过任何商业合作。并称公司已向公安机关报案,公安机关已于2020年6月20日予以立案。此事起源于6月29日,广东省深圳市南山区人民法院发布的一则民事裁定书。根据裁定书透露的信息,法院同意支持原告腾讯的请求,?

  • 老干妈:暂不清楚腾讯是否会撤诉 正在核实腾讯广告推广事宜

    据澎湃新闻消息,今日,老干妈相关负责人表示,暂时还不清楚腾讯是否会撤诉。针对“之前有没有注意到腾讯的广告推广事宜”一事,该负责人称,“我们正在核实当中。”

  • 3人伪造老干妈印章骗过腾讯 腾讯无语:今天中午辣椒酱突然不香了

    7月1日消息,腾讯状告老干妈一案水落石出。据媒体报道,3名不法人员冒充贵阳南明老干妈风味食品有限责任公司(以下简称老干妈)市场经营部经理与腾讯签订合作协议,为了获取腾讯在推广活动中配

  • 腾讯马晓轶:腾讯游戏官方社区“闪现一下”App已上线

    昨日,腾讯游戏年度发布会正式在线上召开,期间集中发布了四十余款游戏产品与品牌。同时,在会上,腾讯公司高级副总裁马晓轶表示,未来腾讯游戏将会做好自己的“新基建”。

  • 腾讯回应被骗

    ​今日午间,针对“ 3 人伪造老干妈印章与腾讯签合同”一事,腾讯在B站发布动态回应称:“今天中午的辣椒酱突然不香了”。在得知腾讯别骗之后,支付宝表示:“希望天下无假章”。

  • 腾讯增持蔚来汽车

    近日,腾讯通过全资子公司黄河投资有限公司买入蔚来汽车 168 万股美国存托股(ADS),相当于 168 万股A类普通股,耗资 1000 万美元。增持后,截至 6 月 10 日,腾讯持有蔚来约1. 59 亿股普通股,持股占比15.1%。

  • 3人伪造印章与腾讯签合同 老干妈回应:暂不清楚腾讯是否会撤诉

    这两天闹得沸沸扬扬“腾讯老干妈之战”终于查清了真相。今天,贵阳公安双龙分局官方微信公号发布警方通报:近日,该局接到贵阳南明老干妈风味食品有限责任公司报案,有不法人员冒充

  • 3人伪造老干妈印章与腾讯签合同 腾讯疑似回应被骗辣椒酱突然不香了

    腾讯疑似回应被骗辣椒酱突然不香是怎么回事?据媒体报道, 3 名不法人员冒充贵阳南明老干妈风味食品有限责任公司(以下简称老干妈)市场经营部经理与腾讯签订合作协议,为了获取腾讯在推广活动中配套赠送的网络游戏礼包码,之后通过互联网倒卖非法获取经济利益。

  • 警方通报腾讯起诉老干妈案件:3人伪造老干妈印章与腾讯合作

    今日,腾讯起诉老干妈一事又有了新的进展,贵阳公安双龙分局发布公告称,经初步查明,系犯罪嫌疑人曹某(男, 36 岁)、刘某利(女, 40 岁)、郑某君(女, 37 岁)伪造老干妈公司印章,冒充该公司市场经营部经理,与腾讯公司签订合作协议。其目的是为了获取腾讯公司在推广活动中配套赠送的网络游戏礼包码,之后通过互联网倒卖非法获取经济利益。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议