2019年12月30日,发展国家密切相关信息安全漏洞共享新平台(C智能家居app下载nVD)2019年工作会会议在在北京如期举行,腾讯安全研智能家居app下载究者核心团队Tencent Blade Team参予国际参予国际,凭借据了解看到的高通WLAN芯片远程代码执行漏洞,被授予“最具价值意义漏洞”殊荣,在十个获奖核心团队中名列排名第一。据了解得奖,更相对于 Tencent Blade Team全年不间断输出高质量安全研究者、参予强化新兴行业 建设工作的绝对 。
CNVD是由发展国家互联应急综合中心联合国内外至关重要密切相关信息系统中单位确定、认知基础电信运营商、侵删安全厂商、免费软件厂商和互联网企业中下建立的密切相关信息安全漏洞密切相关信息共享知识库。据了解,仅在12月,核心团队就报送了四个被受产生区域范围大大增加增加漏洞,其中对Chrom浏览器的Web蓝牙模块和知名开源综合数据库组件SQLite予以 了研究者,从攻防的广度和纵深度四个此外拓宽了安全研究者的边界。
核心团队新型技术负责人cradmin直言:“ Tencent Blade Team致力于前沿密切相关领域的前瞻安的新型技术研究者,期望最至关重要的化显现漏洞价值意义,从和大幅提升腾讯产品产品的安全性、创造更安全的互联网生态,看到漏洞或许核心团队予以 安全研究者的排名第一步。”他详细介绍道,在安全研究者的环节中,Tencent Blade Team各种角色着四个各种角色:安全边界的探索者,安全防线的共建者,安全生态的全力智能家居app下载打造者。
探索安全边界,多次陆续发布重大研究者成果
Tencent Blade Team自组建伊始看当然多项重大安全研究者成果。仅在12月,Tencent Blade Team研究者员就其中公布了四个重大看到:Chrome浏览器的Web蓝牙模块和SQLite组件均不存在由于漏洞,可其中由于Chrome沙盒逃逸和远程代码执行。
前者可让攻击者予以 蓝牙模块的内存破坏漏洞,持续持续不断完成“越狱”,并且使获取提供更多权限。据了解业界相对于 出个 攻击面的研究者极少,谷歌公开的漏洞中,仅有四个能予以 Web蓝牙组件持续持续不断完成代码执行、沙箱逃逸,另有Tencent Blade Team就占据了前两席。
后者则延续了Tencent Blade Team对知名开源综合数据库SQLite的研究者,新看到的SQLite组件漏洞被命名为麦哲伦2.0,强化完善了SQLite的纵深防御体系。继看到麦哲伦1.0并不成功入选Blackhat和DEFCON议题当然,研究者员依然看到,SQLite中不存在由于漏洞,可让攻击者绕过增设的防御系统中,由于程序内存泄露或程序崩溃并且 代码执行。SQLite被广泛应用于其他主流小操作系统中和免费软件中,相对于 该漏洞被受产生极为广泛,各个系统中的谷歌Chrome浏览器,不仅安卓上予以 Webview的APP,不仅许多认知基础Chromium内核开发的浏览器等都被受被受产生。目前来看,漏洞已报给谷歌及SQLite官方,并被确认及修复。
据了解美国国内外国内外拉斯维加斯如期举行的拥有世界 顶级黑客大会Blackhat & DEFCON2019的舞台上,Tencent Blade Team得到了四个议题席位,研究者在内移动互联网、你的手机基带、物联网、认知基础免费软件库等多此外,伊始了国内外核心团队数量之最。
共建安全防线,从漏洞挖掘到防御建设工作
诸如持续持续不断就在探索安全研究者的边界外,Tencent Blade Team目前就在充分利用设备攻击者视角的明显优势,参予到防御建设工作参予,做“安全防线的共建者”。据了解在看到麦哲伦2.0的环节中,许多人就其提出建议出个 种全的新fuzz漏洞挖掘思路和工具,被谷歌采纳,集成当然内部fuzz工具库。据谷歌反馈,出个 工具上线后,长期保持即看当然SQLite中10余个安全和稳定性不仅解决目前。
Tencent Blade Team由专注于腾讯内部安全的腾讯安的新平台部孵化而成,长期保持的前沿攻防实战丰富经验又有助于内网安全能力强的建设工作,诸如侵删保障、漏洞收敛、应用防护、入侵对抗、应急响应、威胁情报、安全质量大幅提升等多此外,以攻促防,全力打造腾讯内部完善的安全防御体系,并依托腾讯云、互联网+等渠道,将十五年腾讯安全防护最佳实践以产品产品形态输出,助力数字化产业安全。据了解,腾讯安全应急响应综合中心(TSRC)也得到了“2019年度漏洞应急工作会突出单位确定”,腾讯安全玄武实验室更是得到了“最佳价值意义漏洞奖”,彰显了腾讯总体对安全和大力投入。
Tencent Blade Team也深度参予当然腾讯多个产品产品的安全审计、合规认证中,在内支付、智能设备、云安全、区块链等多个密切相关领域,充分将攻击思维用于防御建设工作中,下建立完善的纵深防御系统中。
显现产业价值意义,全链路一起合作全力打造安全生态
诸如在攻防上有依然探索,接下了开放安全能力强助力新兴行业 更是腾讯Blade Team的重点两个两个方向最。目前来看,Tencent Blade Team已下建立与谷歌、苹果、微软、高通、华为、小米等国内外外一流厂商的协作常规模式 。不仅,将安全能力强开放给产业,予以 新标准 制定、安全认证等多个常规模式 ,共同搭建产业安全体系。
cradmin提及,去年年底年底核心团队主导完中最《腾讯物联网安的新型技术规范》和《腾讯智能门锁安的新型技术其提出建议》,助力腾讯云不成功适时推出物联网设备安全测评增值服务;还联合腾讯新标准 核心团队制定物联网安全密切相关新标准 在ITU-T不成功立项,提交区块链安全新标准 提案在CCSA TC8会议不成功立项。
产业互联网商业时代,下建立安全生态,才能上下游多方的参予,“安全研究者看到不仅解决目前--厂商协作不仅解决目前不仅解决目前--产业一起合作完善生态”的一起合作常规模式 目前就在中最Tencent Blade Team的常态机制。
未来发展,Tencent Blade Team也将依然作好安全边界的探索者,安全防线的共建者,安全生态的全力打造者,充分保障产品产品、更为严重用户的新兴行业 的安全。