關(guān) 閉

新聞中心

EEPW首頁(yè) > 安全與國(guó)防 > 業(yè)界動(dòng)態(tài) > 26年首次!阿里獨(dú)創(chuàng)內(nèi)核漏洞檢測(cè)法獲國(guó)際認(rèn)可:打破國(guó)內(nèi)零記錄

26年首次!阿里獨(dú)創(chuàng)內(nèi)核漏洞檢測(cè)法獲國(guó)際認(rèn)可:打破國(guó)內(nèi)零記錄

作者:朝暉 時(shí)間:2019-07-08 來(lái)源:快科技 收藏

近日,全球安全學(xué)術(shù)頂會(huì)Computer and Communications Security(美國(guó)計(jì)算機(jī)學(xué)會(huì)旗下計(jì)算機(jī)與通信安全會(huì)議,下稱“”),將阿里安全的“內(nèi)核漏洞檢測(cè)方法”列入其論文收錄庫(kù)。這是舉辦26年以來(lái),中國(guó)互聯(lián)網(wǎng)企業(yè)投中的第一篇論文。

本文引用地址:http://m.butianyuan.cn/article/201907/402381.htm

計(jì)算機(jī)操作系統(tǒng)分為應(yīng)用層和內(nèi)核。如果內(nèi)核存在漏洞,對(duì)整個(gè)系統(tǒng)的影響可能是毀滅性的。如果將內(nèi)核比做一棟房子,阿里安全獨(dú)創(chuàng)的“內(nèi)核漏洞檢測(cè)方法”,可以快速發(fā)現(xiàn)這棟房子上的細(xì)微裂縫,防患于未然。

正是憑借短時(shí)間內(nèi)即發(fā)現(xiàn)34個(gè)內(nèi)核信息泄露,并獲得微軟20個(gè)CVE(公共漏洞披露)確認(rèn)的超強(qiáng)成績(jī)單,“內(nèi)核漏洞檢測(cè)方法”得以通過(guò)層層評(píng)審獲得組委會(huì)認(rèn)可。

業(yè)內(nèi)人士指出,相比每年工業(yè)界頂會(huì)國(guó)內(nèi)公司數(shù)十次中稿,歷年學(xué)術(shù)頂會(huì),企業(yè)中稿數(shù)基本為零,難度可見一斑。

阿里安全獨(dú)創(chuàng)的內(nèi)核漏洞檢測(cè)方法示意圖,可檢測(cè)隱蔽性最高的內(nèi)核漏洞

漏洞一直是基礎(chǔ)軟件廠商們頭痛卻又未能有良好解法的安全隱患。2014年,OpenSSL的心臟滴血(CVE-2014-0160)漏洞,造成了很多操作系統(tǒng)的用戶密鑰及個(gè)人隱私等嚴(yán)重泄漏,并持續(xù)發(fā)酵蔓延,一度引發(fā)全球恐慌。

阿里安全獵戶座實(shí)驗(yàn)室資深安全專家修謨指出,“內(nèi)核漏洞檢測(cè)方法”的原理是通過(guò)多次執(zhí)行程序指令流并記錄結(jié)果的方式,以差分方法檢測(cè)未初始化變量,進(jìn)而發(fā)現(xiàn)是否存在內(nèi)核信息泄漏這一高危安全問(wèn)題。

 “我們的檢測(cè)方法,已經(jīng)在Windows 7和Windows 10(x86/x64)系統(tǒng)上進(jìn)行了驗(yàn)證,并提交給微軟進(jìn)行了修復(fù),從準(zhǔn)確性、性能、問(wèn)題定位能力等方面,都超過(guò)了谷歌Project Zero團(tuán)隊(duì)提出的Bochspwn漏洞挖掘技術(shù),可有效提升操作系統(tǒng)安全性?!?阿里安全獵戶座實(shí)驗(yàn)室負(fù)責(zé)人杭特稱。

“今年3月,我們獨(dú)創(chuàng)的業(yè)界首個(gè)‘公開可驗(yàn)證(PVC)’安全兩方計(jì)算方案也被歐洲密碼學(xué)頂會(huì)收錄,連續(xù)兩次創(chuàng)下國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)首次,足以說(shuō)明阿里安全技術(shù)已達(dá)到全球頂尖的技術(shù)水準(zhǔn),也將引領(lǐng)全球技術(shù)風(fēng)向?!卑⒗锇踩夹g(shù)負(fù)責(zé)人錢磊表示。



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉