ISC 2019有大招 挖洞女騎士將現場遠程無接觸攻擊iPhone

在曾掀起不小國際爭端的“沙特記者遇害案”中，一個由手機漏洞劃開的安全裂縫，給盜取受害人身份信息的惡意軟件留了后門，也由此堵住了異見記者卡舒吉的生門。小小的一個漏洞，成了引爆全球緊張局勢的“核彈”，其殺傷力不言而喻。

將于8月19日召開的2019 ISC互聯網安全大會上，全球知名漏洞獵人谷歌零計劃成員娜塔麗•西爾萬諾維奇(Natalie Silvanovich)就將親臨現場，解密一項與<入侵沙特記者手機致其被殺>同級別漏洞——遠程無接觸攻擊iPhone。一周前，蘋果為封堵曝光的iPhone系統(tǒng)多個武器級遠程無接觸漏洞，緊急發(fā)布iOS 12.4版本，而兩周后的ISC 2019上，娜塔麗•西爾萬諾維奇就將第一時間解讀如何遠程無接觸攻擊iPhone，其時效性、重要性，可見一斑。

網安世界的戰(zhàn)場玫瑰，年破百余個高危漏洞的安全女騎士

被譽為“戰(zhàn)場玫瑰”的娜塔麗•西爾萬諾維奇，堪稱網安世界里的能力女騎士。前黑莓安全研究團隊負責人，現任谷歌零計劃成員的職業(yè)履歷，以及憑借著過硬的實力連續(xù)四年在Black Hat發(fā)表主題演講，并擔任審查委員會成員的經歷，讓娜塔麗•西爾萬諾維奇在網安界的聲譽非同小可。

眾所周知，2014年成立的谷歌零計劃(Project Zero)，是西方最強的白帽子軍團，以每年挖掘大量主流軟硬件漏洞著稱。而供職該團隊的娜塔麗•西爾萬諾維奇，在一眾安全大咖中也是名列前茅的安全大佬。值得一提的是，娜塔麗•西爾萬諾維奇挖掘出來的漏洞，涵蓋蘋果、三星、Adobe Flash等多個領域。

（1）蘋果iOS iMessage遠程無接觸漏洞。iOS的核心功能組件中竟存無需用戶交互即可通過iMessage遠程利用、執(zhí)行任意代碼的高危漏洞?而娜塔麗•西爾萬諾維奇是發(fā)現此漏洞的全球第一人。

（2）蘋果Facetime任意代碼執(zhí)行漏洞。娜塔麗•西爾萬諾維奇還成功發(fā)現了蘋果FaceTime組件存在可被用來遠程執(zhí)行任意代碼的漏洞，該系列漏洞會影響iOS和Mac系統(tǒng)中的視頻處理進程，導致內存損壞。

（3）三星（Samsung）S7Edge整數溢出漏洞。娜塔麗•西爾萬諾維奇曾發(fā)現三星(Samsung)S7Edge手機中對字符串的內存分配存在整數溢出漏洞，該漏洞可被攻擊者利用，借助畸形OMACPWAP推送消息損壞內存。

（4）Adobe Flash 漏洞百余個，占全年漏洞總數1/3。僅2016年，娜塔麗•西爾萬諾維奇?zhèn)€人就提交了百余項Adobe Flash漏洞，數量就占到了Adobe Flash全年漏洞總數的1/3。

“強悍”的漏洞挖掘能力，也讓娜塔麗•西爾萬諾維奇?zhèn)涫苄袠I(yè)的認可。今年，這位網絡戰(zhàn)場的玫瑰，將親臨2019 ISC互聯網安全大會，為大眾揭開遠程無接觸攻擊iPhone背后的故事，早已成為了安全圈關注的焦點。

2019 ISC群策群力應對網絡戰(zhàn)，漏洞論壇聚焦六大高危漏洞

此次大會上，來自谷歌零計劃實驗室的娜塔麗•西爾萬諾維奇現場分享遠程無接觸攻擊iPhone，而在“戰(zhàn)場玫瑰”之外，卡巴斯基實驗室、Q-recon漏洞軍火商、360 Vulcan Team、盤古團隊等眾多知名安全大咖也將逐一亮相，現場披露RDP遠程高危漏洞(CVE-2019-0708)核心技術細節(jié)、揭秘不為人知的0day漏洞交易內幕、演示iPhone XS Max越獄等六大重磅議題，打造一場立足網絡安全最前沿的漏洞挖掘和利用分論壇，探索網絡安全攻防前沿的真知灼見。

此前，在第七屆互聯網安全大會(ISC 2019)媒體通氣會上，360公司董事長周鴻祎表示，ISC的目標是辦成中國的RSA(美國信息安全大會)，以學習和分享為主旨，形成百花齊放、百家爭鳴的效果，為中國網絡安全產業(yè)打造一個真正具有前瞻性、先導性和探索性的生態(tài)大會，集全行業(yè)之力為中國網絡安全出謀劃策。而在“應對網絡戰(zhàn)、共建大生態(tài)、同筑大安全”的主題下，ISC 2019又將迸發(fā)出怎樣的安全智慧火花，就讓我們拭目以待吧!

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。