DoNews12月31日消息 (記者 費倩文)30日,在國家信息安全漏洞共享平臺(CNVD)2019年工作會議上,騰訊安全研究團隊Tencent Blade Team因此前發現的高通WLAN芯片遠程代碼執行漏洞,被授予“最具價值漏洞”殊榮,在十個獲獎團隊中名列第一。此次得獎,也是對Tencent Blade Team全年不間斷輸出高質量安全研究、積極推動行業建設的肯定。
據悉,Tencent Blade Team由專注於騰訊內部安全的騰訊安全平臺部孵化而成,長期的前沿攻防實戰經驗也有助於內網安全能力的建設,包括網絡保障、漏洞收斂、應用防護、入侵對抗、應急響應、威脅情報、安全質量提升等多方面,以攻促防,打造騰訊內部完善的安全防禦體系,並依託騰訊雲、互聯網+等渠道,將十五年騰訊安全防護最佳實踐以產品形態輸出,助力數字化產業安全。
據介紹,Tencent Blade Team自成立以來發現了多項重大安全研究成果。僅在12月,Tencent Blade Team研究員就先後公佈了兩個重大發現:Chrome瀏覽器的Web藍牙模塊和SQLite組件均存在嚴重漏洞,可分別導致Chrome沙盒逃逸和遠程代碼執行。
前者可讓攻擊者通過藍牙模塊的內存破壞漏洞,實現“越獄”,進而獲取更多權限。此前業界對於這一攻擊面的研究極少,谷歌公開的漏洞中,僅有三個能通過Web藍牙組件實現代碼執行、沙箱逃逸,其中Tencent Blade Team就佔據了前兩席。
後者則延續了Tencent Blade Team對知名開源數據庫SQLite的研究,新發現的SQLite組件漏洞被命名爲麥哲倫2.0,進一步完善了SQLite的縱深防禦體系。繼發現麥哲倫1.0併成功入選Blackhat和DEFCON議題之後,研究員再度發現,SQLite中存在嚴重漏洞,可讓攻擊者繞過增設的防禦系統,造成程序內存泄露或程序崩潰甚至代碼執行。SQLite被廣泛應用於所有主流操作系統和軟件中,因此該漏洞影響極爲廣泛,各個系統的谷歌Chrome瀏覽器,以及安卓上使用Webview的APP,以及一些基於Chromium內核開發的瀏覽器等都受到影響。目前,漏洞已報給谷歌及SQLite官方,並被確認及修復。
團隊技術負責人cradmin表示:“ Tencent Blade Team致力於前沿領域的前瞻安全技術研究,希望最大化顯現漏洞價值,從而提升騰訊產品的安全性、創造更安全的互聯網生態,發現漏洞只是團隊進行安全研究的第一步。”他介紹道,在安全研究的過程中,Tencent Blade Team扮演着三個角色:安全邊界的探索者,安全防線的共建者,安全生態的打造者。
CNVD是由國家互聯應急中心聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。此次,騰訊安全應急響應中心(TSRC)斬獲了“2019年度漏洞應急工作突出單位”,騰訊安全玄武實驗室同樣獲得了“最佳價值漏洞獎”,彰顯了騰訊整體對安全的大力投入。(完)