请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
近日,Black Hat USA 2024在拉斯维加斯重磅拉开帷幕。作为安全行业的知名大会,Black Hat USA每年都会向外界持续输送出最新的安全研究成果、创新技术等前沿资讯,是展现全球安全发展风向的最好窗口,被公认为“黑客界的奥斯卡”。



自2014年起,360已连续十一年登上Black Hat全球黑帽大会的舞台,在本届会议中,360数字安全集团再度受邀参会。来自360数字安全集团旗下漏洞研究院的安全专家以《Super Hat Trick: Exploit Chrome and Firefox Four Times》为题进行了深度分享,揭示了JavaScript引擎V8和SpiderMonkey中的关键漏洞,向世界展现出数字安全发展中的“中国浪潮”。



360社区

360社区




该议题通过详细的探索,发现在Google的JavaScript引擎V8中,JSSet.Union和Turboshaft中间编译器等新实施的功能,存在两个稳定且可靠的远程代码执行(RCE)漏洞。同时,在对Firefox的JavaScript引擎SpiderMonkey进行深入检查的过程中,也同步发现了其WebAssembly垃圾回收规范及相应的JIT优化代码实现中,存在另外两个RCE漏洞。

360安全专家在议题演讲过程中,重点阐明了发现这些关键漏洞的过程。通过深入研究V8中JSSet和Turboshaft引入的新攻击面,以及SpiderMonkey中的wasm gc,他们识别了这些安全缺陷的根本原因。这一分析不仅展示了具体的漏洞,还概述了JavaScript引擎中常见的四种经典漏洞模式,以及这些漏洞的利用技术与利用策略,旨在使开发人员和安全专业人员具备识别和缓解这些问题的应对策略,增强Google和Mozilla的防御深度。

在本届Black Hat USA中,360漏洞研究院提交的这一极具研究价值的安全成果对开源社区具备重要贡献,不仅为JavaScript引擎的安全研究提供了新的视角,也为未来的数字安全建设奠定了坚实的基础。在此之前,360漏洞研究院凭借着一次又一次震撼全球的安全实力,不仅成为微软MSRC、天府杯等国际奖项中屠榜的“常客”,还荣膺中国首个“The Pwnie Awards”史诗级成就奖和最佳提权漏洞奖,更是连续多年获谷歌官方漏洞奖励计划年报(VRP)公开致谢。



作为数字安全的领导者,360数字安全集团未来也将继续从政策、标准、检测、修复、应急响应等多方面积极推进,深耕创新技术,感知漏洞风险,看见安全威胁,为推动数字安全的高质量发展做出更多贡献。


来源:360数字安全

共 1 个关于连续11年亮相BlackHat大会,360发布重磅漏洞研究成果的回复 最后回复于 2024-8-31 17:12

评论

直达楼层

飞机飞行 超级版主 楼主 发表于 2024-8-31 17:12 | 显示全部楼层 | 私信

IP属地: 安徽省

360向世界展现出数字安全发展中的“中国浪潮”。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:184 关注:13 积分:251294

精华:350 金币:238584 经验:209011

IP属地: 未知

最后登录时间:2024-12-9

小水滴公测勋章 智能摄像机3C 摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章

私信 加好友

最新活动

【体验评审官第二期】参与投票,抽取京东卡

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表