近日，微軟向全球用戶發(fā)布了2016年的***波安全補(bǔ)丁。此前在Pwn2Own 2015世界黑客大賽上***破解IE11瀏覽器的亞洲團(tuán)隊(duì)360Vulcan Team再度發(fā)力，獲得微軟Edge瀏覽器全球***深度防御致謝。

公告鏈接：https://technet.microsoft.com/library/security/MS16-002

MS16-002詳情：https://technet.microsoft.com/library/security/MS16-002

據(jù)悉，微軟Defense-in-depth（深度防御）致謝是微軟從2014年開始提出的、對(duì)于幫助微軟改進(jìn)產(chǎn)品安全的安全專家的新型致謝方式。和針對(duì)報(bào)告特定安全漏洞的致謝不同，深度防御致謝通常代表了微軟藉由報(bào)告者提供的漏洞信息帶來的啟發(fā)，對(duì)微軟操作系統(tǒng)或應(yīng)用程序的安全性能進(jìn)行了深度的優(yōu)化和改進(jìn)。這些改進(jìn)能給對(duì)應(yīng)的系統(tǒng)內(nèi)核或應(yīng)用程序帶來更徹底、更深入的安全防御能力。而能夠提供深度防御信息的安全研究人員，通常也都對(duì)系統(tǒng)和應(yīng)用程序的內(nèi)部機(jī)制有著非常深入的理解和與眾不同的思路。

微軟***針對(duì)深度防御信息進(jìn)行致謝，是在2014年的6月的補(bǔ)丁日。其中，IE瀏覽器補(bǔ)丁MS14-035中，針對(duì)IE進(jìn)行了深度防御修改。在這次修改中，微軟致謝了來自日本Cyber Defense Institute公司的安全研究人員Noriaki Iwasaki。

根據(jù)微軟官網(wǎng)的致謝信息統(tǒng)計(jì)，在2014、2015年間，微軟針對(duì)IE瀏覽器、微軟Office、Windows Installer服務(wù)和微軟Graphics等微軟產(chǎn)品或組件中相關(guān)的深度防御改進(jìn)，分別共發(fā)布過13次致謝。其中，Cyber Defense Institute公司和Google安全團(tuán)隊(duì)分別獲得過兩次致謝。 韓國“神童”lokihardt也在2015年9月通過其在Pwn2own 2015中攻破Google Chrome瀏覽器所使用的Windows內(nèi)核漏洞，獲得了針對(duì)Windows內(nèi)核驅(qū)動(dòng)的***深度防御致謝。中國安全研究者***獲得深度防御致謝，則是在2015年3月，由綠盟科技的張?jiān)坪ａ槍?duì)IE瀏覽器提出的深度防御改進(jìn)而獲得。

相比2014、2015年間微軟總共修補(bǔ)的983個(gè)安全漏洞，13個(gè)深度防御致謝顯得十分地“稀有”，這也體現(xiàn)了深度防御致謝的含金量。

而自從微軟在2015年4月公布了隨著Windows 10一起發(fā)布、用于取代IE瀏覽器、代號(hào)為Spartan的下一代瀏覽器開始后，全球的安全研究者也開始了針對(duì)微軟下一代瀏覽器的安全挑戰(zhàn)。這個(gè)后來被正式命名為“Edge”的微軟下一代瀏覽器，不只是換了名字，在安全性上也做了長足、徹底和深入的改進(jìn)。它通過默認(rèn)開啟的增強(qiáng)保護(hù)模式、移除大量容易引入安全問題的兼容機(jī)制，以及漏洞防御的新技術(shù)“MemGC”等等方式，使其安全性相比過去的IE瀏覽器有了質(zhì)的飛躍。

微軟對(duì)新的Edge瀏覽器安全性信心十足，在Windows 10正式發(fā)布前，它推出了針對(duì)Edge瀏覽器漏洞“賞金計(jì)劃”。只要研究人員發(fā)現(xiàn)并報(bào)告Edge瀏覽器中任何安全漏洞，就可以獲得500到15000美金不等的“賞金”獎(jiǎng)勵(lì)。當(dāng)然，這微軟的“賞金”并非輕松可得，因?yàn)榫瓦B國外專做漏洞買賣軍火生意的“掮客”，也在長嘆高價(jià)也買不到針對(duì)Edge瀏覽器的高質(zhì)量漏洞。 

于是，在漏洞安全研究方面有著多年經(jīng)驗(yàn)的360Vulcan Team團(tuán)隊(duì)接受了挑戰(zhàn)。在短短兩個(gè)月的“賞金計(jì)劃”期限內(nèi)，360Vulcan Team找到了Edge瀏覽器的三處安全漏洞，被列入微軟Edge瀏覽器”賞金計(jì)劃“榮譽(yù)榜中， 在全球范圍的安全研究團(tuán)隊(duì)中***。

（微軟Edge瀏覽器”賞金計(jì)劃“ 榮譽(yù)榜 截圖）

微軟”賞金計(jì)劃“榮譽(yù)榜：

https://technet.microsoft.com/en-us/security/dn469163.aspx

而面對(duì)Edge瀏覽器從內(nèi)測到發(fā)布后，9個(gè)月內(nèi)無人獲得Edge瀏覽器深度防御致謝的情況， 360Vulcan Team當(dāng)然也不甘示弱。他們通過給微軟提交安全漏洞，并和微軟的技術(shù)專家一起協(xié)作在1月份的補(bǔ)丁中改進(jìn)Edge瀏覽器的安全，在全球***獲得了微軟Edge瀏覽器的深度防御致謝。同時(shí)，這也是國內(nèi)安全研究人員***次獲得對(duì)任一微軟組件或產(chǎn)品的***深度防御改進(jìn)致謝。

作為360安全衛(wèi)士的攻防研究團(tuán)隊(duì)，360Vulcan Team始終致力于挖掘軟件的漏洞威脅并為廠商提供解決方案。僅在2015年，該團(tuán)隊(duì)就獲得了微軟公司26次漏洞致謝，Adobe 55次漏洞致謝，蘋果公司5次漏洞致謝以及谷歌公司1次漏洞致謝，漏洞致謝總數(shù)在全球范圍內(nèi)僅次于Google Project Zero團(tuán)隊(duì)，在國內(nèi)更是***于其他安全團(tuán)隊(duì)。

在瀏覽器安全攻防方面，360Vulcan Team有著獨(dú)到的心得。2015年P(guān)wn2Own黑客大賽中，該團(tuán)隊(duì)僅用17秒率先攻破***的IE11瀏覽器，締造了亞洲團(tuán)隊(duì)***攻破IE目標(biāo)的歷史。

據(jù)悉，在發(fā)布1月份安全補(bǔ)丁的同時(shí)，微軟也正式宣布放棄對(duì)IE11以下版本瀏覽器提供安全支持，并鼓勵(lì)用戶安裝Windows 10和Edge瀏覽器。這意味著，Edge作為微軟下一代瀏覽器，隨著Windows 10的大力推廣，已經(jīng)成為微軟最重要的戰(zhàn)略產(chǎn)品。不出意外，它很快將會(huì)成為桌面用戶的***瀏覽器。

可以預(yù)見，未來將有更多的安全從業(yè)人員致力于挖掘微軟Edge瀏覽器的安全漏洞，進(jìn)一步保護(hù)用戶的上網(wǎng)安全。360VulcanTeam作為國內(nèi)團(tuán)隊(duì)，領(lǐng)先于全球其他安全團(tuán)隊(duì)率先獲得Edge瀏覽器的***次深度防御致謝，代表著國內(nèi)安全研究人員向著國際***的專業(yè)水平和趨勢看齊，更具有里程碑式的意義。