IE11是目前微軟安全性最高的瀏覽器版本。2014年6月之后，基于Win8.1的IE11不斷融入新的安全特性，包括UAF防護、CFG（執行流保護）、EPM（高級沙箱）等漏洞利用防護措施，這些舉措大大提高了黑客利用IE漏洞的門檻，可以說已經武裝到牙齒。

在Pwn2Own 2015世界黑客大賽上，微軟Win8.1系統和最新的IE11瀏覽器更稱得上是世界頂級賽事上最難的挑戰項目。據筆者了解到，比賽規則是參賽者制作一個網頁，能夠在瀏覽器訪問時控制電腦彈出一個高權限程序，來證明瀏覽器存在漏洞。另外由于IE11等最新的瀏覽器具有沙箱，黑客的攻擊代碼運行后無法訪問真實的操作系統，因此還需要找到沙箱漏洞來突破沙箱，才能夠控制高權限程序的彈出。

讓人意外的是，作為中國安全公司的代表，360Vulcan Team，成功利用多個0day漏洞組合17秒攻破全副武裝的IE11，一舉顛覆了歐美安全技術強國在Pwn2Own上對IE項目的統治地位。在本屆Syscan360峰會上，Vulcan Team的核心成員古河他將會公開Pwn2Own中所使用的兩個IE漏洞的細節，詳細講解exploit流程和其中用到的技術。

事實上，第三方安全廠商和安全機構發現漏洞后，第一時間將漏洞細節通報給微軟應急安全響應中心，協助微軟推出補丁，是微軟Windows系統安全性的重要保證。基于安全廠商和機構對微軟補丁做出的貢獻，微軟在每次發布補丁的同時也會向這些廠商和機構公開致謝。據了解，360公司已86次獲得微軟安全公告致謝，在全球安全軟件廠商中遙遙領先。

為何360公司能在數次挑戰中勝出，相信離不開安全技術大牛的貢獻，這其中就包括“MJ0011”，也就是360公司首席工程師、漏洞實驗室負責人鄭文彬，曾因發現微軟“Windows DirectShow視頻開發包”等多個漏洞被微軟官方公開致謝。他也是XP盾甲內核和應用加固機制的主要設計開發者。

據鄭文彬介紹，360Vulcan Team團隊主要研究方向是挖掘軟件的安全漏洞和漏洞威脅，幫助廠商修復漏洞和提升產品安全性，并利用其漏洞研究領域的經驗，設計和提供更有效的安全解決方案。

隨著智能設備的普及，個人隱私信息、健康信息等都會放在云上，安全問題更加突出。而任何軟件都無法避免漏洞，重要的是及時發現和修復漏洞。在類似Pwn2Own上被攻破的產品，都能夠根據參賽者的攻擊方法及時進行安全升級，從而消除安全隱患。也就是說，軟件產品通過比賽有可能被攻破，但軟件的安全性反而會得到提升。

在采訪過程中，鄭文彬也聊到了一個趨勢，安全漏洞挖掘的工作越來越困難，成本也越來越高，很多著名的安全團隊已經逐漸淡出了這個領域。同時由于安全研究人員不斷發現漏洞、以及和廠商合作去處理安全問題，增強了廠商的安全意識，黑客通過漏洞發起攻擊也越來越困難，這也正是筆者想看到的。