在曾掀起不小国际争端的“沙特记者遇害案”中,一个由手机漏洞划开的安全裂缝,给盗取受害人身份信息的恶意软件留了后门,也由此堵住了异见记者卡舒吉的生门。小小的一个漏洞,成了引爆全球紧张局势的“核弹”,其杀伤力不言而喻。
将于8月19日召开的2019 ISC互联网安全大会上,全球知名漏洞猎人谷歌零计划成员娜塔丽•西尔万诺维奇(Natalie Silvanovich)就将亲临现场,解密一项与<入侵沙特记者手机致其被杀>同级别漏洞——远程无接触攻击iPhone。一周前,苹果为封堵曝光的iPhone系统多个武器级远程无接触漏洞,紧急发布iOS 12.4版本,而两周后的ISC 2019上,娜塔丽•西尔万诺维奇就将第一时间解读如何远程无接触攻击iPhone,其时效性、重要性,可见一斑。
网安世界的战场玫瑰,年破百余个高危漏洞的安全女骑士
被誉为“战场玫瑰”的娜塔丽•西尔万诺维奇,堪称网安世界里的能力女骑士。前黑莓安全研究团队负责人,现任谷歌零计划成员的职业履历,以及凭借着过硬的实力连续四年在Black Hat发表主题演讲,并担任审查委员会成员的经历,让娜塔丽•西尔万诺维奇在网安界的声誉非同小可。
众所周知,2014年成立的谷歌零计划(Project Zero),是西方最强的白帽子军团,以每年挖掘大量主流软硬件漏洞著称。而供职该团队的娜塔丽•西尔万诺维奇,在一众安全大咖中也是名列前茅的安全大佬。值得一提的是,娜塔丽•西尔万诺维奇挖掘出来的漏洞,涵盖苹果、三星、Adobe Flash等多个领域。
(1)苹果iOS iMessage远程无接触漏洞。iOS的核心功能组件中竟存无需用户交互即可通过iMessage远程利用、执行任意代码的高危漏洞?而娜塔丽•西尔万诺维奇是发现此漏洞的全球第一人。
(2)苹果Facetime任意代码执行漏洞。娜塔丽•西尔万诺维奇还成功发现了苹果FaceTime组件存在可被用来远程执行任意代码的漏洞,该系列漏洞会影响iOS和Mac系统中的视频处理进程,导致内存损坏。
(3)三星(Samsung)S7Edge整数溢出漏洞。娜塔丽•西尔万诺维奇曾发现三星(Samsung)S7Edge手机中对字符串的内存分配存在整数溢出漏洞,该漏洞可被攻击者利用,借助畸形OMACPWAP推送消息损坏内存。
(4)Adobe Flash 漏洞百余个,占全年漏洞总数1/3。仅2016年,娜塔丽•西尔万诺维奇个人就提交了百余项Adobe Flash漏洞,数量就占到了Adobe Flash全年漏洞总数的1/3。
“强悍”的漏洞挖掘能力,也让娜塔丽•西尔万诺维奇备受行业的认可。今年,这位网络战场的玫瑰,将亲临2019 ISC互联网安全大会,为大众揭开远程无接触攻击iPhone背后的故事,早已成为了安全圈关注的焦点。
2019 ISC群策群力应对网络战,漏洞论坛聚焦六大高危漏洞
此次大会上,来自谷歌零计划实验室的娜塔丽•西尔万诺维奇现场分享远程无接触攻击iPhone,而在“战场玫瑰”之外,卡巴斯基实验室、Q-recon漏洞军火商、360 Vulcan Team、盘古团队等众多知名安全大咖也将逐一亮相,现场披露RDP远程高危漏洞(CVE-2019-0708)核心技术细节、揭秘不为人知的0day漏洞交易内幕、演示iPhone XS Max越狱等六大重磅议题,打造一场立足网络安全最前沿的漏洞挖掘和利用分论坛,探索网络安全攻防前沿的真知灼见。
此前,在第七届互联网安全大会(ISC 2019)媒体通气会上,360公司董事长周鸿祎表示,ISC的目标是办成中国的RSA(美国信息安全大会),以学习和分享为主旨,形成百花齐放、百家争鸣的效果,为中国网络安全产业打造一个真正具有前瞻性、先导性和探索性的生态大会,集全行业之力为中国网络安全出谋划策。而在“应对网络战、共建大生态、同筑大安全”的主题下,ISC 2019又将迸发出怎样的安全智慧火花,就让我们拭目以待吧!
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。