腾讯Blade Team获封CNVD“最具价值漏洞”奖,安全研究显现产业价值

发布时间: 2019-12-31 17:39:11 来源: 用户投稿 栏目: 传媒 点击:

2019 年 12 月 30 日,国家信息安全漏洞共享平台(CNVD) 2019 年工作会议在北京举行,腾讯安全研究团队Tencent Blade Team受邀参加,凭借此前发现的高通WLAN芯片远程代码执行漏洞,被授予“最具价值漏洞”殊荣,在十个获奖团队中名列第一。此次得奖,也是对Tencent Blade Team全年不间断输出高质量安全研究、积极推动行业建设的肯定。CNVD是由国家互联应急中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和?

2019 年 12 月 30 日,国家信息安全漏洞共享平台(CNVD) 2019 年工作会议在北京举行,腾讯安全研究团队Tencent Blade Team受邀参加,凭借此前发现的高通WLAN芯片远程代码执行漏洞,被授予“最具价值漏洞”殊荣,在十个获奖团队中名列第一。此次得奖,也是对Tencent Blade Team全年不间断输出高质量安全研究、积极推动行业建设的肯定。

image.png

CNVD是由国家互联应急中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。据悉,仅在 12 月,团队就报送了两个影响范围极大漏洞,分别对Chrom浏览器的Web蓝牙模块和知名开源数据库组件SQLite进行了研究,从攻防的广度和纵深度两个层面拓宽了安全研究的边界。

团队技术负责人cradmin表示:“ Tencent Blade Team致力于前沿领域的前瞻安全技术研究,希望最大化显现漏洞价值,从而提升腾讯产品的安全性、创造更安全的互联网生态,发现漏洞只是团队进行安全研究的第一步。”他介绍道,在安全研究的过程中,Tencent Blade Team扮演着三个角色:安全边界的探索者,安全防线的共建者,安全生态的打造者。

探索安全边界,多次发布重大研究成果

Tencent Blade Team自成立以来发现了多项重大安全研究成果。仅在 12 月,Tencent Blade Team研究员就先后公布了两个重大发现:Chrome浏览器的Web蓝牙模块和SQLite组件均存在严重漏洞,可分别导致Chrome沙盒逃逸和远程代码执行。

前者可让攻击者通过蓝牙模块的内存破坏漏洞,实现“越狱”,进而获取更多权限。此前业界对于这一攻击面的研究极少,谷歌公开的漏洞中,仅有三个能通过Web蓝牙组件实现代码执行、沙箱逃逸,其中Tencent Blade Team就占据了前两席。

后者则延续了Tencent Blade Team对知名开源数据库SQLite的研究,新发现的SQLite组件漏洞被命名为麦哲伦2。0,进一步完善了SQLite的纵深防御体系。继发现麦哲伦1。 0 并成功入选Blackhat和DEFCON议题之后,研究员再度发现,SQLite中存在严重漏洞,可让攻击者绕过增设的防御系统,造成程序内存泄露或程序崩溃甚至代码执行。SQLite被广泛应用于所有主流操作系统和软件中,因此该漏洞影响极为广泛,各个系统的谷歌Chrome浏览器,以及安卓上使用Webview的APP,以及一些基于Chromium内核开发的浏览器等都受到影响。目前,漏洞已报给谷歌及SQLite官方,并被确认及修复。

此前在美国拉斯维加斯举行的世界顶级黑客大会Blackhat & DEFCON2019 的舞台上,Tencent Blade Team斩获了五个议题席位,研究涵盖移动互联网、手机基带、物联网、基础软件库等多方面,创下了国内团队数量之最。

共建安全防线,从漏洞挖掘到防御建设

除了不断探索安全研究的边界外,Tencent Blade Team也在充分利用攻击者视角的优势,参与到防御建设中来,做“安全防线的共建者”。此次在发现麦哲伦2. 0 的过程中,他们就提出了一种全新的fuzz漏洞挖掘思路和工具,被谷歌采纳,集成到了内部fuzz工具库。据谷歌反馈,这一工具上线后,短期内即发现了SQLite中 10 余个安全和稳定性问题。

Tencent Blade Team由专注于腾讯内部安全的腾讯安全平台部孵化而成,长期的前沿攻防实战经验也有助于内网安全能力的建设,包括网络保障、漏洞收敛、应用防护、入侵对抗、应急响应、威胁情报、安全质量提升等多方面,以攻促防,打造腾讯内部完善的安全防御体系,并依托腾讯云、互联网+等渠道,将十五年腾讯安全防护最佳实践以产品形态输出,助力数字化产业安全。此次,腾讯安全应急响应中心(TSRC)也斩获了“ 2019 年度漏洞应急工作突出单位”,腾讯安全玄武实验室同样获得了“最佳价值漏洞奖”,彰显了腾讯整体对安全的大力投入。

Tencent Blade Team也深度参与到了腾讯多个产品的安全审计、合规认证中,涵盖支付、智能设备、云安全、区块链等多个领域,充分将攻击思维用于防御建设中,构建完善的纵深防御系统。

显现产业价值,全链路合作打造安全生态

除了在攻防上的持续探索,接下来开放安全能力助力行业也是腾讯Blade Team的重点方向之一。目前,Tencent Blade Team已建立与谷歌、苹果、微软、高通、华为、小米等国内外一流厂商的协作模式。同时,将安全能力开放给产业,通过标准制定、安全认证等多个模式,共同搭建产业安全体系。

cradmin提到,今年团队主导完成了《腾讯物联网安全技术规范》和《腾讯智能门锁安全技术要求》,助力腾讯云成功推出物联网设备安全测评服务;还联合腾讯标准团队制定物联网安全相关标准在ITU-T成功立项,提交区块链安全标准提案在CCSA TC8 会议成功立项。

产业互联网时代,构建安全生态,需要上下游多方的参与,“安全研究发现问题--厂商协作解决问题--产业合作完善生态”的合作模式正在成为Tencent Blade Team的常态机制。

未来,Tencent Blade Team也将继续做好安全边界的探索者,安全防线的共建者,安全生态的打造者,充分保障产品、用户和行业的安全。

本文由编程客栈用户投稿,未经编程客栈同意,严禁转载。如广大用户朋友,发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题(反馈入口)。

本文标题: 腾讯Blade Team获封CNVD“最具价值漏洞”奖,安全研究显现产业价值
本文地址: http://www.cooldogg.com/news/media/296576.html

如果认为本文对您有所帮助请赞助本站

支付宝扫一扫赞助微信扫一扫赞助

  • 支付宝扫一扫赞助
  • 微信扫一扫赞助
  • 支付宝先领红包再赞助
    声明:凡注明"本站原创"的所有文字图片等资料,版权均属编程客栈所有,欢迎转载,但务请注明出处。
    共享轮椅,替代步行的花粉共享轮椅在医院有什么特殊!可以录制视频的免费软件是什么?三步轻松搞定疑难
    Top 极速赛车6码2期计划 万利彩票计划群 极速赛车规律图 状元彩票计划群 为什么极速赛车9码都输 668彩票计划群 上海11选5 北京极速赛车软件 东方彩票计划群 青海快3