ISC 2019有大招 挖洞女騎士將現(xiàn)場遠(yuǎn)程無接觸攻擊iPhone

在曾掀起不小國際爭端的“沙特記者遇害案”中，一個由手機(jī)漏洞劃開的安全裂縫，給盜取受害人身份信息的惡意軟件留了后門，也由此堵住了異見記者卡舒吉的生門。小小的一個漏洞，成了引爆全球緊張局勢的“核彈”，其殺傷力不言而喻。

將于8月19日召開的2019 ISC互聯(lián)網(wǎng)安全大會上，全球知名漏洞獵人谷歌零計(jì)劃成員娜塔麗•西爾萬諾維奇(Natalie Silvanovich)就將親臨現(xiàn)場，解密一項(xiàng)與<入侵沙特記者手機(jī)致其被殺>同級別漏洞——遠(yuǎn)程無接觸攻擊iPhone。一周前，蘋果為封堵曝光的iPhone系統(tǒng)多個武器級遠(yuǎn)程無接觸漏洞，緊急發(fā)布iOS 12.4版本，而兩周后的ISC 2019上，娜塔麗•西爾萬諾維奇就將第一時間解讀如何遠(yuǎn)程無接觸攻擊iPhone，其時效性、重要性，可見一斑。

網(wǎng)安世界的戰(zhàn)場玫瑰，年破百余個高危漏洞的安全女騎士

被譽(yù)為“戰(zhàn)場玫瑰”的娜塔麗•西爾萬諾維奇，堪稱網(wǎng)安世界里的能力女騎士。前黑莓安全研究團(tuán)隊(duì)負(fù)責(zé)人，現(xiàn)任谷歌零計(jì)劃成員的職業(yè)履歷，以及憑借著過硬的實(shí)力連續(xù)四年在Black Hat發(fā)表主題演講，并擔(dān)任審查委員會成員的經(jīng)歷，讓娜塔麗•西爾萬諾維奇在網(wǎng)安界的聲譽(yù)非同小可。

眾所周知，2014年成立的谷歌零計(jì)劃(Project Zero)，是西方最強(qiáng)的白帽子軍團(tuán)，以每年挖掘大量主流軟硬件漏洞著稱。而供職該團(tuán)隊(duì)的娜塔麗•西爾萬諾維奇，在一眾安全大咖中也是名列前茅的安全大佬。值得一提的是，娜塔麗•西爾萬諾維奇挖掘出來的漏洞，涵蓋蘋果、三星、Adobe Flash等多個領(lǐng)域。

（1）蘋果iOS iMessage遠(yuǎn)程無接觸漏洞。iOS的核心功能組件中竟存無需用戶交互即可通過iMessage遠(yuǎn)程利用、執(zhí)行任意代碼的高危漏洞?而娜塔麗•西爾萬諾維奇是發(fā)現(xiàn)此漏洞的全球第一人。

（2）蘋果Facetime任意代碼執(zhí)行漏洞。娜塔麗•西爾萬諾維奇還成功發(fā)現(xiàn)了蘋果FaceTime組件存在可被用來遠(yuǎn)程執(zhí)行任意代碼的漏洞，該系列漏洞會影響iOS和Mac系統(tǒng)中的視頻處理進(jìn)程，導(dǎo)致內(nèi)存損壞。

（3）三星（Samsung）S7Edge整數(shù)溢出漏洞。娜塔麗•西爾萬諾維奇曾發(fā)現(xiàn)三星(Samsung)S7Edge手機(jī)中對字符串的內(nèi)存分配存在整數(shù)溢出漏洞，該漏洞可被攻擊者利用，借助畸形OMACPWAP推送消息損壞內(nèi)存。

（4）Adobe Flash 漏洞百余個，占全年漏洞總數(shù)1/3。僅2016年，娜塔麗•西爾萬諾維奇?zhèn)€人就提交了百余項(xiàng)Adobe Flash漏洞，數(shù)量就占到了Adobe Flash全年漏洞總數(shù)的1/3。

“強(qiáng)悍”的漏洞挖掘能力，也讓娜塔麗•西爾萬諾維奇?zhèn)涫苄袠I(yè)的認(rèn)可。今年，這位網(wǎng)絡(luò)戰(zhàn)場的玫瑰，將親臨2019 ISC互聯(lián)網(wǎng)安全大會，為大眾揭開遠(yuǎn)程無接觸攻擊iPhone背后的故事，早已成為了安全圈關(guān)注的焦點(diǎn)。

2019 ISC群策群力應(yīng)對網(wǎng)絡(luò)戰(zhàn)，漏洞論壇聚焦六大高危漏洞

此次大會上，來自谷歌零計(jì)劃實(shí)驗(yàn)室的娜塔麗•西爾萬諾維奇現(xiàn)場分享遠(yuǎn)程無接觸攻擊iPhone，而在“戰(zhàn)場玫瑰”之外，卡巴斯基實(shí)驗(yàn)室、Q-recon漏洞軍火商、360 Vulcan Team、盤古團(tuán)隊(duì)等眾多知名安全大咖也將逐一亮相，現(xiàn)場披露RDP遠(yuǎn)程高危漏洞(CVE-2019-0708)核心技術(shù)細(xì)節(jié)、揭秘不為人知的0day漏洞交易內(nèi)幕、演示iPhone XS Max越獄等六大重磅議題，打造一場立足網(wǎng)絡(luò)安全最前沿的漏洞挖掘和利用分論壇，探索網(wǎng)絡(luò)安全攻防前沿的真知灼見。

此前，在第七屆互聯(lián)網(wǎng)安全大會(ISC 2019)媒體通氣會上，360公司董事長周鴻祎表示，ISC的目標(biāo)是辦成中國的RSA(美國信息安全大會)，以學(xué)習(xí)和分享為主旨，形成百花齊放、百家爭鳴的效果，為中國網(wǎng)絡(luò)安全產(chǎn)業(yè)打造一個真正具有前瞻性、先導(dǎo)性和探索性的生態(tài)大會，集全行業(yè)之力為中國網(wǎng)絡(luò)安全出謀劃策。而在“應(yīng)對網(wǎng)絡(luò)戰(zhàn)、共建大生態(tài)、同筑大安全”的主題下，ISC 2019又將迸發(fā)出怎樣的安全智慧火花，就讓我們拭目以待吧!

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。