内容字号:默认大号超大号

段落设置:取消段首缩进段首缩进

字体设置:切换到微软雅黑切换到宋体

业界资讯软件之家
Win10之家WP之家
iPhone之家iPad之家
安卓之家数码之家
评测中心智能设备
精准搜索请尝试:精确搜索

第二届CSS国际安全技术峰会:Win10/Office365漏洞剖析

2016-11-10 22:47:31来源:IT之家作者:晨风责编:晨风评论:

第二届互联网安全峰会(CSS)第二日(11月10日)议程的一个重点就是国际安全技术峰会。在本次峰会中,来自世界各国的顶尖高手讲解了包括微软Win10Office 365漏洞等在内的多个安全项目,腾讯科恩实验室的吕一平主持会议。IT之家就把重点内容为大家梳理一番。

ZDI的Brian、Jasiel和Abdul的演讲题目为《$hell on Earth: From Browser to System Compromise(地球的地狱:从浏览器到系统妥协)》。这三位大神讲述了黑客大赛中的浏览器攻击如何在现实中加以防范,相关安全公司如何利用比赛成果来为用户做出安全产品。他们提到了沙箱技术的应用,微软对零日漏洞防护的积极行动,腾讯科恩的团队追踪Flash漏洞,Pwn2Own黑客大赛让业内更加关注网络安全。另外,Abdul还重点讲了Windows10的Edge浏览器曾经的漏洞,通过JavaScript实现,沙箱可以让浏览器通信的安全性提升。他们表示现在漏洞越来越不容易利用,但安全问题仍然不能小觑。

之后加州大学圣塔芭芭拉分校的Nicholas Dean Stephens讲述了“自动漏洞挖掘”技术,这是一个全新的概念,通过自动化的方式去攻击目标,发现漏洞,然后还要做出漏洞修复。

Intel资深安全研究员李晓宁在《Windows漏洞攻击防御技术探讨》中也提到了关于Win10和Edge浏览器的漏洞和防御问题。但他主要讲述的还是底层硬件级的防御技术。

在下午的议程中,来自谷歌的James Forshaw做了开场演讲,以Chrome浏览器为例介绍了如何让浏览器更加安全。他提到了Win10增加了Win32 API的复杂性,以及Windows API技术对于了解系统漏洞的帮助。他最后表示,API文件记录对于提升浏览器安全性有很大帮助。

来自思科的Mariano讲述了《The Spraying Attacks Slayer》,他表示Spraying是一个非常有价值的技术,在64位的操作系统里面,可以更好的发挥作用。他在讲述中用了Win7、Linux3.2等作例子,说明了恶意软件防范的实例。之后,他对未来的安全情况进行了展望,称我们建议应该有更强有力的,比现在更好的体系,需要更好的浏览器版本,也需要这个内核的Spraying。

Intel McAfee的李海飞从用户角度分析微软Office的攻击界面,他提到了Outlook附件处理问题,基本上可以分为三类,第一类就是一些不安全的后缀名,比如说exe、vbs、psl、js等,在Outlook当中不可能被打开。还有html、pub、zip要用户双击以后保存,保存到硬盘上,双击打开这个文件再打开。

在Outlook看来比较安全的文件例如Word、PowerPoint、Excel等,实际上是最危险的东西,攻击性远远大于其他文件,因此外来文件最好在受保护视图中打开。还有就是在网盘中打开上述文件同样存在风险,服务提供商必须提供保护视图才能够确保用户安全。

另外,xla文件同样充满危险,因为里面可以嵌入Flash文件。IT之家老用户应该都清楚,这种类型的文件被称为“漏洞之王”或者“无底洞”,漏洞似乎是永远也修不完的,因此业内倡导抛弃Flash,推广HTML5。

李海飞还提醒用户,不用的Office软件就别安装,因为这会增加潜在风险,更多的软件就包含更多的漏洞。微软现在的Office 365默认安装很多Office 2016组件,用户最好还是自定义安装自己需要的即可。

来自于Pwn2Own的资深研究员王宇针对黑客比赛当中安全漏洞进行了深入分析,并且他提到中国团队在解决漏洞问题上的实力还是非常值得欣慰的,今后这方面能力应该可以推广到智能汽车等更多的技术领域。

最后腾讯科恩实验室的聂森、刘令研究员介绍了无物理接触的远程控制控制特斯拉的方法中汽车网关的部分。汽车网关也是一个单片机,它的作用就是在不同的CAN上面,它要处理以太网的数据和CANBus是怎么交付的,这个工作是由汽车网关完成的。

国际安全技术峰会结束之后,为期两天的第二届中国互联网安全领袖峰会也随之告一段落。本次峰会总结了一年来互联网安全界的最新最顶级的成果,也为今后网络安全行业的发展指明了方向。IT之家期待明年的峰会更加精彩。

相关文章

IT之家,软媒旗下科技门户网站 - 爱科技,爱这里。

Copyright (C)RuanMei.com, All Rights Reserved.

软媒公司版权所有