騰訊安全高級研究員在AsiaSecWest中分享中國技術

　　中新網6月8日電 6月6日，AsiaSecWest國際安全技術峰會—亞洲站在中國香港開幕。本屆峰會歷時2天，吸引了來自美國、德國、中國等地的極客界“最強大腦“加盟，針對眾多全球信息安全領域最具前瞻性、最具含金量的議題的進行了交流探討，力圖為全球安全技術提供交流共享、互通有無的新平臺。

　　在本屆AsiaSecWest中，中國的技術力量不容小覷。來自騰訊安全玄武實驗室安全研究員宋凱和秦策，他們以“繞過所有系統緩解措施的Chakra漏洞和利用”為主題發表了演講，提出了將瀏覽器內存安全漏洞轉化為任意代碼執行的新方法，從而借助AsiaSecWest的舞臺向世界展現了中國網絡安全的解決思維與技術實力。

　　騰訊玄武實驗室高級研究員發表演講 披露瀏覽器漏洞及利用問題

　　隨著互聯網，尤其是移動互聯網的發展，瀏覽器及其安全問題受到了廣泛關注。盡管瀏覽器廠商應用了諸多安全特性以防范瀏覽器漏洞，但并不能避免所有可能存在的入侵風險。對于許多廠商和消費者來說，潛在的漏洞利用很難被察覺，信息安全依然處于未被開放的“黑匣子”中。

　　為此，騰訊安全玄武實驗室的兩位安全研究員宋凱與秦策以Chakra(微軟為網頁瀏覽器開發的JavaScript引擎)的漏洞為研究樣本，發表了名為“繞過所有系統緩解措施的Chakra漏洞和利用”的演講。在演講中，兩位騰訊安全研究員對Chakra的一個漏洞進行了詳細講解，并針對漏洞利用技術介紹了可以繞過所有防護的新方法。這項發現意味著，雖然Windows已經引入了許多針對漏洞利用的緩解措施，但是通過該漏洞利用技術依然能夠繞過安全防范入侵設備，在瀏覽器內執行任意代碼，甚至與其他提權漏洞進一步結合，在目標設備上對漏洞實現完全利用。

　　早在2015年，騰訊安全玄武實驗室負責人于旸就已經針對Chakra的漏洞利用進行了詳細的介紹。此次AsiaSecWest，宋凱與秦策分別就Chakra的漏洞利用的技術及其緩解方案進行了進一步總結，并在此前研究成果的基礎上進行改進，披露了能夠繞過Windows修復方案的“所有系統緩解措施的漏洞”，從整體上將Chakra漏洞利用研究向前推進了一大步。

　　騰訊安全積極聯合國際智慧 輸出中國技術能力

　　全球頂級信息安全峰會CanSecWest是互聯網安全領域的傳統技術交流峰會，在全球互聯網安全領域擁有較高影響力。對于全球范圍內的信息安全研究員來說，能夠在AsiaSecWest國際安全技術峰會—亞洲站上發表演講意味著其研究成果不僅具有世界范圍的影響力，同時還具有能夠改進整個網絡安全的前瞻性。兩位騰訊安全研究員針對Chakra漏洞的發言表明，在安全領域，騰訊方面的力量正在崛起，他們利用自身資源優勢，為互聯網安全貢獻了諸多技術力量與解決方案。

　　除技術問題本身外，全球網絡空間安全威脅呈現新的變化：一些新型網絡威脅正呈現全球蔓延的態勢，物聯網安全、網絡黑產、互聯網金融詐騙、數據隱私泄露等問題伴隨著全球經濟發展成為網絡安全的新焦點。如何應對網絡安全新形勢，聯合全球技術力量促進各方交流以盡可能維護網絡信任度，是目前包括研究者、網絡廠商、程序工程師，乃至于相關政府部門及企業在內的從業者必須面臨的問題。

　　為應對這一難題，騰訊安全在推動技術進步的基礎上，還積極組織并參與了此次AsiaSecWest峰會，在促進國際間的智慧交流的基礎上，融合各方資源以打破中西方技術交流壁壘。除了眾多前沿議題的分享，騰訊安全聯合實驗室玄武實驗室負責人于旸還與CanSecWest創始人Dragos Ruiu提出了“極客1.0.1”的愿景，日后將與諸多國際頂尖技術平臺或安全社區建立長期合作，為包括中國在內的全球信息安全技術人才構建一個展示前沿技術突破與應用的舞臺。

　　騰訊安全作為中國互聯網安全新生態的首倡者，始終堅持“開放、聯合、共享”的理念，多維護航全球網絡安全生態的構建與發展。通過此次與CanSecWest的合作，騰訊安全希望搭建起中西方安全技術交流的橋梁，致力推動中國成為國際信息安全技術風向標，在為中國網絡安全生態建設注入全球化視野的同時，積極倡導中國乃至全球的信息安全新生態。