360获微软下一代浏览器全球首个深度防御致谢

        近日,微软向全球用户发布了2016年的第一波安全补丁。此前在Pwn2Own 2015世界黑客大赛上首次破解IE11浏览器的亚洲团队360Vulcan Team再度发力,获得微软Edge浏览器全球首个深度防御致谢。

(微软1月份漏洞致谢截图)

        公告链接:https://technet.microsoft.com/library/security/MS16-002

        MS16-002详情:https://technet.microsoft.com/library/security/MS16-002

        据悉,微软Defense-in-depth(深度防御)致谢是微软从2014年开始提出的、对于帮助微软改进产品安全的安全专家的新型致谢方式。和针对报告特定安全漏洞的致谢不同,深度防御致谢通常代表了微软藉由报告者提供的漏洞信息带来的启发,对微软操作系统或应用程序的安全性能进行了深度的优化和改进。这些改进能给对应的系统内核或应用程序带来更彻底、更深入的安全防御能力。而能够提供深度防御信息的安全研究人员,通常也都对系统和应用程序的内部机制有着非常深入的理解和与众不同的思路。

        微软首次针对深度防御信息进行致谢,是在2014年的6月的补丁日。其中,IE浏览器补丁MS14-035中,针对IE进行了深度防御修改。在这次修改中,微软致谢了来自日本Cyber Defense Institute公司的安全研究人员Noriaki Iwasaki。

        根据微软官网的致谢信息统计,在2014、2015年间,微软针对IE浏览器、微软Office、Windows Installer服务和微软Graphics等微软产品或组件中相关的深度防御改进,分别共发布过13次致谢。其中,Cyber Defense Institute公司和Google安全团队分别获得过两次致谢。 韩国“神童”lokihardt也在2015年9月通过其在Pwn2own 2015中攻破Google Chrome浏览器所使用的Windows内核漏洞,获得了针对Windows内核驱动的首个深度防御致谢。中国安全研究者首次获得深度防御致谢,则是在2015年3月,由绿盟科技的张云海针对IE浏览器提出的深度防御改进而获得。

        相比2014、2015年间微软总共修补的983个安全漏洞,13个深度防御致谢显得十分地“稀有”,这也体现了深度防御致谢的含金量。

        而自从微软在2015年4月公布了随着Windows 10一起发布、用于取代IE浏览器、代号为Spartan的下一代浏览器开始后,全球的安全研究者也开始了针对微软下一代浏览器的安全挑战。这个后来被正式命名为“Edge”的微软下一代浏览器,不只是换了名字,在安全性上也做了长足、彻底和深入的改进。它通过默认开启的增强保护模式、移除大量容易引入安全问题的兼容机制,以及漏洞防御的新技术“MemGC”等等方式,使其安全性相比过去的IE浏览器有了质的飞跃。

        微软对新的Edge浏览器安全性信心十足,在Windows 10正式发布前,它推出了针对Edge浏览器漏洞“赏金计划”。只要研究人员发现并报告Edge浏览器中任何安全漏洞,就可以获得500到15000美金不等的“赏金”奖励。当然,这微软的“赏金”并非轻松可得,因为就连国外专做漏洞买卖军火生意的“掮客”,也在长叹高价也买不到针对Edge浏览器的高质量漏洞。

        于是,在漏洞安全研究方面有着多年经验的360Vulcan Team团队接受了挑战。在短短两个月的“赏金计划”期限内,360Vulcan Team找到了Edge浏览器的三处安全漏洞,被列入微软Edge浏览器”赏金计划“荣誉榜中, 在全球范围的安全研究团队中遥遥领先。

(微软Edge浏览器”赏金计划“ 荣誉榜 截图)

        微软”赏金计划“荣誉榜:

        https://technet.microsoft.com/en-us/security/dn469163.aspx

        而面对Edge浏览器从内测到发布后,9个月内无人获得Edge浏览器深度防御致谢的情况, 360Vulcan Team当然也不甘示弱。他们通过给微软提交安全漏洞,并和微软的技术专家一起协作在1月份的补丁中改进Edge浏览器的安全,在全球首次获得了微软Edge浏览器的深度防御致谢。同时,这也是国内安全研究人员第一次获得对任一微软组件或产品的首次深度防御改进致谢。

        作为360安全卫士的攻防研究团队,360Vulcan Team始终致力于挖掘软件的漏洞威胁并为厂商提供解决方案。仅在2015年,该团队就获得了微软公司26次漏洞致谢,Adobe 55次漏洞致谢,苹果公司5次漏洞致谢以及谷歌公司1次漏洞致谢,漏洞致谢总数在全球范围内仅次于Google Project Zero团队,在国内更是遥遥领先于其他安全团队。

        在浏览器安全攻防方面,360Vulcan Team有着独到的心得。2015年Pwn2Own黑客大赛中,该团队仅用17秒率先攻破最新的IE11浏览器,缔造了亚洲团队首次攻破IE目标的历史。

        据悉,在发布1月份安全补丁的同时,微软也正式宣布放弃对IE11以下版本浏览器提供安全支持,并鼓励用户安装Windows 10和Edge浏览器。这意味着,Edge作为微软下一代浏览器,随着Windows 10的大力推广,已经成为微软最重要的战略产品。不出意外,它很快将会成为桌面用户的首选浏览器。

        可以预见,未来将有更多的安全从业人员致力于挖掘微软Edge浏览器的安全漏洞,进一步保护用户的上网安全。360VulcanTeam作为国内团队,领先于全球其他安全团队率先获得Edge浏览器的第一次深度防御致谢,代表着国内安全研究人员向着国际顶尖的专业水平和趋势看齐,更具有里程碑式的意义。