在曾掀起不小国际争端的“沙特记者遇害案”中,一个由手机漏洞划开的安全裂缝,给盗取受害人身份信息的恶意软件留了后门,也由此堵住了异见记者卡舒吉的生门。小小的一个漏洞,成了引爆全球紧张局势的“核弹”,其杀伤力不言而喻。
将于8月19日召开的2019 ISC互联网安全大会上,全球知名漏洞猎人谷歌零计划成员娜塔丽•西尔万诺维奇(Natalie Silvanovich)就将亲临现场,解密一项与<入侵沙特记者手机致其被杀>同级别漏洞——远程无接触攻击iPhone。一周前,苹果为封堵曝光的iPhone系统多个武器级远程无接触漏洞,紧急发布iOS 12.4版本,而两周后的ISC 2019上,娜塔丽•西尔万诺维奇就将第一时间解读如何远程无接触攻击iPhone,其时效性、重要性,可见一斑。
网安世界的战场玫瑰,年破百余个高危漏洞的安全女骑士
被誉为“战场玫瑰”的娜塔丽•西尔万诺维奇,堪称网安世界里的能力女骑士。前黑莓安全研究团队负责人,现任谷歌零计划成员的职业履历,以及凭借着过硬的实力连续四年在Black Hat发表主题演讲,并担任审查委员会成员的经历,让娜塔丽•西尔万诺维奇在网安界的声誉非同小可。
众所周知,2014年成立的谷歌零计划(Project Zero),是西方最强的白帽子军团,以每年挖掘大量主流软硬件漏洞著称。而供职该团队的娜塔丽•西尔万诺维奇,在一众安全大咖中也是名列前茅的安全大佬。值得一提的是,娜塔丽•西尔万诺维奇挖掘出来的漏洞,涵盖苹果、三星、Adobe Flash等多个领域。
(1)苹果iOS iMessage远程无接触漏洞。iOS的核心功能组件中竟存无需用户交互即可通过iMessage远程利用、执行任意代码的高危漏洞?而娜塔丽•西尔万诺维奇是发现此漏洞的全球第一人。
(2)苹果Facetime任意代码执行漏洞。娜塔丽•西尔万诺维奇还成功发现了苹果FaceTime组件存在可被用来远程执行任意代码的漏洞,该系列漏洞会影响iOS和Mac系统中的视频处理进程,导致内存损坏。
(3)三星(Samsung)S7Edge整数溢出漏洞。娜塔丽•西尔万诺维奇曾发现三星(Samsung)S7Edge手机中对字符串的内存分配存在整数溢出漏洞,该漏洞可被攻击者利用,借助畸形OMACPWAP推送消息损坏内存。
(4)Adobe Flash 漏洞百余个,占全年漏洞总数1/3。仅2016年,娜塔丽•西尔万诺维奇个人就提交了百余项Adobe Flash漏洞,数量就占到了Adobe Flash全年漏洞总数的1/3。
“强悍”的漏洞挖掘能力,也让娜塔丽•西尔万诺维奇备受行业的认可。今年,这位网络战场的玫瑰,将亲临2019 ISC互联网安全大会,为大众揭开远程无接触攻击iPhone背后的故事,早已成为了安全圈关注的焦点。
2019 ISC群策群力应对网络战,漏洞论坛聚焦六大高危漏洞
此次大会上,来自谷歌零计划实验室的娜塔丽•西尔万诺维奇现场分享远程无接触攻击iPhone,而在“战场玫瑰”之外,卡巴斯基实验室、Q-recon漏洞军火商、360 Vulcan Team、盘古团队等众多知名安全大咖也将逐一亮相,现场披露RDP远程高危漏洞(CVE-2019-0708)核心技术细节、揭秘不为人知的0day漏洞交易内幕、演示iPhone XS Max越狱等六大重磅议题,打造一场立足网络安全最前沿的漏洞挖掘和利用分论坛,探索网络安全攻防前沿的真知灼见。
此前,在第七届互联网安全大会(ISC 2019)媒体通气会上,360公司董事长周鸿祎表示,ISC的目标是办成中国的RSA(美国信息安全大会),以学习和分享为主旨,形成百花齐放、百家争鸣的效果,为中国网络安全产业打造一个真正具有前瞻性、先导性和探索性的生态大会,集全行业之力为中国网络安全出谋划策。而在“应对网络战、共建大生态、同筑大安全”的主题下,ISC 2019又将迸发出怎样的安全智慧火花,就让我们拭目以待吧!
京公网安备 11010802041100号