CSS 2019騰訊安全探索論壇（TSec）“突破獎”出爐：揭秘新型Windows內(nèi)核漏洞

7月31日，第五屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(簡稱CSS 2019)騰訊安全探索論壇(TSec)在京舉辦，八組演講嘉賓接連登場，就時下熱門的研究領(lǐng)域帶來前沿技術(shù)分享。經(jīng)過現(xiàn)場大眾評委評審以及組委會的核對，本屆TSec獲獎議題正式揭曉。綠盟科技天機實驗室負責(zé)人張云海憑借《Sorry, It is Not Your Page》議題摘取“突破獎”。在議題中，張云海首度揭秘了一種新型Windows內(nèi)核漏洞——物理頁面混淆(PPC)，詳細剖析其技術(shù)原理、攻擊模型以及具體防御措施，充分展示了信息安全研究者在Windows安全防護上的深入研究。

本屆TSec以“前沿科技，尖端對抗”為主題，吸引來自數(shù)學(xué)工程與先進計算國家重點實驗室、清華大學(xué)、解放軍信息工程大學(xué)、綠盟科技等產(chǎn)學(xué)研精英，針對產(chǎn)業(yè)互聯(lián)網(wǎng)時代的信息安全發(fā)展需求，聯(lián)袂首發(fā)信息安全重磅前沿議題，分享時下前沿安全技術(shù)與課題研究成果。

　　(圖：TSec騰訊安全探索論壇現(xiàn)場)

聚焦漏洞挖掘與源代碼安全 獲獎議題揭示多平臺漏洞奧秘

本屆TSec采用觀眾評委現(xiàn)場投票評選的方式?，F(xiàn)場大眾評委根據(jù)演講人的演講風(fēng)格、PPT呈現(xiàn)、專業(yè)性、創(chuàng)新性、技術(shù)難度、研究價值、社會價值、觀眾收獲等七個維度評議，最后匯總所有維度平均分得出最終得分，共同參與并見證重磅議題的誕生。

作為本屆TSec“突破獎”的獲得者，張云海的議題在各個維度上的表現(xiàn)征服了現(xiàn)場觀眾評委?；赪indows 操作系統(tǒng)使用分頁機制來管理內(nèi)存的原理，他首度揭秘新型Windows內(nèi)核漏洞——物理頁面混淆(PPC)背后的技術(shù)原理以及深遠影響，讓現(xiàn)場觀眾對該漏洞有了清晰認識。此次能夠摘取本屆TSec的“突破獎”，與他從業(yè)十五年來的深厚沉淀不無關(guān)系。在此之前，張云海曾先后登上Black Hat、Blue Hat、DEF CON等世界頂尖信息安全舞臺發(fā)表主題演講，還連續(xù)5年獲得微軟 Mitigation Bypass Bounty 獎勵。

來自數(shù)學(xué)工程與先進計算國家重點實驗室甘水滔與清華大學(xué)張超、Knownsec 404 Team郭垠圻、以及來自解放軍信息工程大學(xué)麻榮寬和魏強與浙江大學(xué)程鵬三位安全專家合作的議題獲得“專業(yè)獎”。他們不僅通過全新視角探討模糊測試方案、Mysql客戶端、工業(yè)控制器等相關(guān)安全問題，而且還從核心技術(shù)剖析提供全面系統(tǒng)的應(yīng)對解決方案，為信息安全建設(shè)提供助力。

獲得“技術(shù)獎”的四個議題，則將目光鎖定在源代碼審計和漏洞挖掘領(lǐng)域。萬物互聯(lián)時代，漏洞是網(wǎng)絡(luò)攻防的關(guān)鍵所在，對夯實網(wǎng)絡(luò)空間防護意義重大。Tencent Blade Team高級安全研究員錢文祥和李宇翔、長亭科技黎榮熙、獨立安全研究員王偉波、上海交通大學(xué)王健強分別針對如何深挖潛伏在解析器規(guī)則中的安全風(fēng)險?、如何利用靜態(tài)分析對基于Git的版本控制服務(wù)進行漏洞挖掘?、如何批量化挖掘macOS/iOS內(nèi)核信息泄露?、如何利用自然語言理解技術(shù)發(fā)現(xiàn)內(nèi)存破壞漏洞?給出了詳細的剖析，為互聯(lián)網(wǎng)安全發(fā)展提供了有效的解決思路和方法。

值得關(guān)注的是，以上亮相TSec舞臺的前沿議題屬全球首發(fā)，聚焦漏洞挖掘與源代碼安全、首度揭秘多種漏洞細節(jié)，對信息安全工作者有著重要理論價值和實踐意義，為全球信息安全的發(fā)展，提供學(xué)術(shù)和技術(shù)創(chuàng)新支持。

持續(xù)構(gòu)建高質(zhì)量信息技術(shù)交流平臺護航產(chǎn)業(yè)互聯(lián)網(wǎng)安全發(fā)展

當(dāng)前，企業(yè)數(shù)字化轉(zhuǎn)型驅(qū)動安全產(chǎn)業(yè)機遇同時，也將帶來更為嚴峻的安全挑戰(zhàn)。產(chǎn)業(yè)互聯(lián)網(wǎng)時代安全威脅的突發(fā)性更強、破壞性更大，一旦遭遇網(wǎng)絡(luò)攻擊，可能造成極大的社會影響和經(jīng)濟損失，這樣更加凸顯共享前沿技術(shù)成果的必要性。作為 CSS 2019特色技術(shù)論壇，本屆TSec現(xiàn)場邀請頂尖安全專家論道前沿技術(shù)，共同針對產(chǎn)業(yè)互聯(lián)網(wǎng)時代的信息安全發(fā)展需求，謀求信息安全技術(shù)的新機遇和新思路。值得一提的是，清華大學(xué)張超、上海交大蜚語軟件安全研究小組、綠盟科技張云海作為TSec的老朋友，已連續(xù)幾年登臺發(fā)表高質(zhì)量前沿議題。

“我們希望以此次峰會為契機，更多地參與全球網(wǎng)絡(luò)安全生態(tài)建設(shè)，促進產(chǎn)學(xué)研各界形成合力，為加速技術(shù)創(chuàng)新、共享重要技術(shù)成果搭建一個長期、持續(xù)的溝通合作平臺”，秉承這個初衷和愿景，TSec論壇出品人、騰訊安全玄武實驗室負責(zé)人于旸(TK教主)希望鼓勵各界的安全團隊產(chǎn)出真正對用戶和行業(yè)有價值的前沿研究。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。