第二屆CSS國際安全技術(shù)峰會：Win10/Office365漏洞剖析

第二屆互聯(lián)網(wǎng)安全峰會（CSS）第二日（11月10日）議程的一個重點(diǎn)就是國際安全技術(shù)峰會。在本次峰會中，來自世界各國的頂尖高手講解了包括微軟Win10和Office 365漏洞等在內(nèi)的多個安全項(xiàng)目，騰訊科恩實(shí)驗(yàn)室的呂一平主持會議。IT之家就把重點(diǎn)內(nèi)容為大家梳理一番。

ZDI的Brian、Jasiel和Abdul的演講題目為《$hell on Earth: From Browser to System Compromise（地球的地獄：從瀏覽器到系統(tǒng)妥協(xié)）》。這三位大神講述了黑客大賽中的瀏覽器攻擊如何在現(xiàn)實(shí)中加以防范，相關(guān)安全公司如何利用比賽成果來為用戶做出安全產(chǎn)品。他們提到了沙箱技術(shù)的應(yīng)用，微軟對零日漏洞防護(hù)的積極行動，騰訊科恩的團(tuán)隊(duì)追蹤Flash漏洞，Pwn2Own黑客大賽讓業(yè)內(nèi)更加關(guān)注網(wǎng)絡(luò)安全。另外，Abdul還重點(diǎn)講了Windows10的Edge瀏覽器曾經(jīng)的漏洞，通過JavaScript實(shí)現(xiàn)，沙箱可以讓瀏覽器通信的安全性提升。他們表示現(xiàn)在漏洞越來越不容易利用，但安全問題仍然不能小覷。

之后加州大學(xué)圣塔芭芭拉分校的Nicholas Dean Stephens講述了“自動漏洞挖掘”技術(shù)，這是一個全新的概念，通過自動化的方式去攻擊目標(biāo)，發(fā)現(xiàn)漏洞，然后還要做出漏洞修復(fù)。

Intel資深安全研究員李曉寧在《Windows漏洞攻擊防御技術(shù)探討》中也提到了關(guān)于Win10和Edge瀏覽器的漏洞和防御問題。但他主要講述的還是底層硬件級的防御技術(shù)。

在下午的議程中，來自谷歌的James Forshaw做了開場演講，以Chrome瀏覽器為例介紹了如何讓瀏覽器更加安全。他提到了Win10增加了Win32 API的復(fù)雜性，以及Windows API技術(shù)對于了解系統(tǒng)漏洞的幫助。他最后表示，API文件記錄對于提升瀏覽器安全性有很大幫助。

來自思科的Mariano講述了《The Spraying Attacks Slayer》，他表示Spraying是一個非常有價值的技術(shù)，在64位的操作系統(tǒng)里面，可以更好的發(fā)揮作用。他在講述中用了Win7、Linux3.2等作例子，說明了惡意軟件防范的實(shí)例。之后，他對未來的安全情況進(jìn)行了展望，稱我們建議應(yīng)該有更強(qiáng)有力的，比現(xiàn)在更好的體系，需要更好的瀏覽器版本，也需要這個內(nèi)核的Spraying。

Intel McAfee的李海飛從用戶角度分析微軟Office的攻擊界面，他提到了Outlook附件處理問題，基本上可以分為三類，第一類就是一些不安全的后綴名，比如說exe、vbs、psl、js等，在Outlook當(dāng)中不可能被打開。還有html、pub、zip要用戶雙擊以后保存，保存到硬盤上，雙擊打開這個文件再打開。

在Outlook看來比較安全的文件例如Word、PowerPoint、Excel等，實(shí)際上是最危險的東西，攻擊性遠(yuǎn)遠(yuǎn)大于其他文件，因此外來文件最好在受保護(hù)視圖中打開。還有就是在網(wǎng)盤中打開上述文件同樣存在風(fēng)險，服務(wù)提供商必須提供保護(hù)視圖才能夠確保用戶安全。

另外，xla文件同樣充滿危險，因?yàn)槔锩婵梢郧度隖lash文件。IT之家老用戶應(yīng)該都清楚，這種類型的文件被稱為“漏洞之王”或者“無底洞”，漏洞似乎是永遠(yuǎn)也修不完的，因此業(yè)內(nèi)倡導(dǎo)拋棄Flash，推廣HTML5。

李海飛還提醒用戶，不用的Office軟件就別安裝，因?yàn)檫@會增加潛在風(fēng)險，更多的軟件就包含更多的漏洞。微軟現(xiàn)在的Office 365默認(rèn)安裝很多Office 2016組件，用戶最好還是自定義安裝自己需要的即可。

來自于Pwn2Own的資深研究員王宇針對黑客比賽當(dāng)中安全漏洞進(jìn)行了深入分析，并且他提到中國團(tuán)隊(duì)在解決漏洞問題上的實(shí)力還是非常值得欣慰的，今后這方面能力應(yīng)該可以推廣到智能汽車等更多的技術(shù)領(lǐng)域。

最后騰訊科恩實(shí)驗(yàn)室的聶森、劉令研究員介紹了無物理接觸的遠(yuǎn)程控制控制特斯拉的方法中汽車網(wǎng)關(guān)的部分。汽車網(wǎng)關(guān)也是一個單片機(jī)，它的作用就是在不同的CAN上面，它要處理以太網(wǎng)的數(shù)據(jù)和CANBus是怎么交付的，這個工作是由汽車網(wǎng)關(guān)完成的。

國際安全技術(shù)峰會結(jié)束之后，為期兩天的第二屆中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會也隨之告一段落。本次峰會總結(jié)了一年來互聯(lián)網(wǎng)安全界的最新最頂級的成果，也為今后網(wǎng)絡(luò)安全行業(yè)的發(fā)展指明了方向。IT之家期待明年的峰會更加精彩。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。