12月31日消息 30日,在国家信息安全漏洞共享平台(CNVD)2019年工作会议上,腾讯安全研究团队Tencent Blade Team因此前发现的高通WLAN芯片远程代码执行漏洞,被授予“最具价值漏洞”殊荣,在十个获奖团队中名列第一。此次得奖,也是对Tencent Blade Team全年不间断输出高质量安全研究、积极推动行业建设的肯定。
据悉,Tencent Blade Team由专注于腾讯内部安全的腾讯安全平台部孵化而成,长期的前沿攻防实战经验也有助于内网安全能力的建设,包括网络保障、漏洞收敛、应用防护、入侵对抗、应急响应、威胁情报、安全质量提升等多方面,以攻促防,打造腾讯内部完善的安全防御体系,并依托腾讯云、互联网+等渠道,将十五年腾讯安全防护最佳实践以产品形态输出,助力数字化产业安全。
据介绍,Tencent Blade Team自成立以来发现了多项重大安全研究成果。仅在12月,Tencent Blade Team研究员就先后公布了两个重大发现:Chrome浏览器的Web蓝牙模块和SQLite组件均存在严重漏洞,可分别导致Chrome沙盒逃逸和远程代码执行。
前者可让攻击者通过蓝牙模块的内存破坏漏洞,实现“越狱”,进而获取更多权限。此前业界对于这一攻击面的研究极少,谷歌公开的漏洞中,仅有三个能通过Web蓝牙组件实现代码执行、沙箱逃逸,其中Tencent Blade Team就占据了前两席。
后者则延续了Tencent Blade Team对知名开源数据库SQLite的研究,新发现的SQLite组件漏洞被命名为麦哲伦2.0,进一步完善了SQLite的纵深防御体系。继发现麦哲伦1.0并成功入选Blackhat和DEFCON议题之后,研究员再度发现,SQLite中存在严重漏洞,可让攻击者绕过增设的防御系统,造成程序内存泄露或程序崩溃甚至代码执行。SQLite被广泛应用于所有主流操作系统和软件中,因此该漏洞影响极为广泛,各个系统的谷歌Chrome浏览器,以及安卓上使用Webview的APP,以及一些基于Chromium内核开发的浏览器等都受到影响。目前,漏洞已报给谷歌及SQLite官方,并被确认及修复。
团队技术负责人cradmin表示:“ Tencent Blade Team致力于前沿领域的前瞻安全技术研究,希望最大化显现漏洞价值,从而提升腾讯产品的安全性、创造更安全的互联网生态,发现漏洞只是团队进行安全研究的第一步。”他介绍道,在安全研究的过程中,Tencent Blade Team扮演着三个角色:安全边界的探索者,安全防线的共建者,安全生态的打造者。
CNVD是由国家互联应急中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。此次,腾讯安全应急响应中心(TSRC)斩获了“2019年度漏洞应急工作突出单位”,腾讯安全玄武实验室同样获得了“最佳价值漏洞奖”,彰显了腾讯整体对安全的大力投入。(完)