企业邮箱欧博体育app

腾讯Blade Team获得CNVD“最具价值漏洞”奖，安全研究显现了产业价值

作者：腾讯企业邮箱发布时间：2020-01-02 10:34:54 访问量：943

导读：国家信息安全漏洞共享平台(CNVD)2019年工作会议于2019年12月30日在北京举行。腾讯安全研究团队Tencent Blade Team有幸受邀参加,凭借此前发现的高通WLAN芯片远程代码执行漏洞,被授予“最具价值漏洞”殊荣,在十个获奖团队中名列第一。此次得奖,也是对Tencent Blade Team全年不间断输出高质量安全研究、积极推动行业建设的肯定。

　　国家信息安全漏洞共享平台(CNVD)2019年工作会议于2019年12月30日在北京举行。腾讯安全研究团队Tencent Blade Team有幸受邀参加,凭借此前发现的高通WLAN芯片远程代码执行漏洞,被授予“最具价值漏洞”殊荣,在十个获奖团队中名列第一。此次得奖,也是对Tencent Blade Team全年不间断输出高质量安全研究、积极推动行业建设的肯定。

企业邮箱

　　CNVD是由国家互联应急中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

　　据悉,仅在12月,团队就报送了两个影响范围极大漏洞,分别对Chrom浏览器的Web蓝牙�？楹椭词菘庾榧QLite进行了研究,从攻防的广度和纵深度两个层面拓宽了安全研究的边界。

　　团队技术负责人cradmin表示:“ Tencent Blade Team致力于前沿领域的前瞻安全技术研究,希望最大化显现漏洞价值,从而提升腾讯欧博体育app的安全性、创造更安全的互联网生态,发现漏洞只是团队进行安全研究的第一步�●！彼樯艿�,在安全研究的过程中,Tencent Blade Team扮演着三个角色:安全边界的探索者,安全防线的共建者,安全生态的打造者。

　　一、探索安全边界,多次发布重大研究成果

　　Tencent Blade Team自成立以来发现了多项重大安全研究成果。仅在12月,Tencent Blade Team研究员就先后公布了两个重大发现:Chrome浏览器的Web蓝牙�？楹蚐QLite组件均存在严重漏洞,可分别导致Chrome沙盒逃逸和远程代码执行。

　　前者可让攻击者通过蓝牙�？榈哪诖嫫苹德┒�,实现“越狱”,进而获取更多权限。此前业界对于这一攻击面的研究极少,谷歌公开的漏洞中,仅有三个能通过Web蓝牙组件实现代码执行、沙箱逃逸,其中Tencent Blade Team就占据了前两席。

　　后者则延续了Tencent Blade Team对知名开源数据库SQLite的研究,新发现的SQLite组件漏洞被命名为麦哲伦2.0,进一步完善了SQLite的纵深防御体系。

　　继发现麦哲伦1.0并成功入选Blackhat和DEFCON议题之后,研究员再度发现,SQLite中存在严重漏洞,可让攻击者绕过增设的防御系统,造成程序内存泄露或程序崩溃甚至代码执行。

　　SQLite被广泛应用于所有主流操作系统和软件中,因此该漏洞影响极为广泛,各个系统的谷歌Chrome浏览器,以及安卓上使用Webview的APP,以及一些基于Chromium内核开发的浏览器等都受到影响。目前,漏洞已报给谷歌及SQLite官方,并被确认及修复。

　　此前在美国拉斯维加斯举行的世界顶级黑客大会Blackhat & DEFCON2019的舞台上,Tencent Blade Team斩获了五个议题席位,研究涵盖移动互联网、手机基带、物联网、基础软件库等多方面,创下了国内团队数量之最。

企业邮箱

　　二、共建安全防线,从漏洞挖掘到防御建设

　　除了不断探索安全研究的边界外,Tencent Blade Team也在充分利用攻击者视角的优势,参与到防御建设中来,做“安全防线的共建者”。

　　此次在发现麦哲伦2.0的过程中,他们就提出了一种全新的fuzz漏洞挖掘思路和工具,被谷歌采纳,集成到了内部fuzz工具库。据谷歌反馈,这一工具上线后,短期内即发现了SQLite中10余个安全和稳定性问题。

　　Tencent Blade Team由专注于腾讯内部安全的腾讯安全平台部孵化而成,长期的前沿攻防实战经验也有助于内网安全能力的建设,包括网络保障、漏洞收敛、应用防护、入侵对抗、应急响应、威胁情报、安全质量提升等多方面,以攻促防,打造腾讯内部完善的安全防御体系,并依托腾讯云、互联网+等渠道,将十五年腾讯安全防护最佳实践以欧博体育app形态输出,助力数字化产业安全。

　　此次,腾讯安全应急响应中心(TSRC)也斩获了“2019年度漏洞应急工作突出单位”,腾讯安全玄武实验室同样获得了“最佳价值漏洞奖”,彰显了腾讯整体对安全的大力投入。

　　Tencent Blade Team也深度参与到了腾讯多个欧博体育app的安全审计、合规认证中,涵盖支付、智能设备、云安全、区块链等多个领域,充分将攻击思维用于防御建设中,构建完善的纵深防御系统。

企业邮箱

　　三、显现产业价值,全链路合作打造安全生态

　　除了在攻防上的持续探索,接下来开放安全能力助力行业也是腾讯Blade Team的重点方向之一。目前,Tencent Blade Team已建立与谷歌、苹果、微软、高通、华为、小米等国内外一流厂商的协作模式。同时,将安全能力开放给产业,通过标准制定、安全认证等多个模式,共同搭建产业安全体系。

　　cradmin提到,今年团队主导完成了《腾讯物联网安全技术规范》和《腾讯智能门锁安全技术要求》,助力腾讯云成功推出物联网设备安全测评服务;还联合腾讯标准团队制定物联网安全相关标准在ITU-T成功立项,提交区块链安全标准提案在CCSA TC8会议成功立项。

　　产业互联网时代,构建安全生态,需要上下游多方的参与,“安全研究发现问题--厂商协作解决问题--产业合作完善生态”的合作模式正在成为Tencent Blade Team的常态机制。

　　相信在未来,Tencent Blade Team也将继续做好安全边界的探索者,安全防线的共建者,安全生态的打造者,充分保障欧博体育app、用户和行业的安全。

点赞 0 来源：foxmail客户端

声明：本文由腾讯企业邮箱收集整理的《腾讯Blade Team获得CNVD“最具价值漏洞”奖，安全研究显现了产业价值》，如转载请保留链接:/news_in/343

上一篇：2020第一个工作日 QQ企业邮箱让汇报邮件更具吸引力

下一篇：企业邮箱：企业为什么要使用企业邮箱？

企业邮箱欧博体育app

腾讯Blade Team获得CNVD“最具价值漏洞”奖，安全研究显现了产业价值

声明：本文由腾讯企业邮箱收集整理的《腾讯Blade Team获得CNVD“最具价值漏洞”奖，安全研究显现了产业价值》，如转载请保留链接:/news_in/343

腾讯企业邮箱

网站建设

欧博体育app资讯

招兵买马

关于欧博体育app

客户案例

联系欧博体育app

售前咨询

售后客服