XCon2022议题:流量中的威胁 Chrome网络组件漏洞剖析
2022-8-30 12:6:6 Author: 嘶吼专业版(查看原文) 阅读量:10 收藏

2008年9月1日,Google在自家的博客中发布了一篇文章,正式宣布一款崭新的浏览器Chrome的问世,彼时在浏览器的赛道中,IE还是绝对的王者。

此后的十余年,IE、Chrome、Firefox、Safari等全球各大厂商推出的浏览器经历着互联网时代近乎残酷的淘汰,更经受着日益挑剔的用户越发严苛而犀利的筛选。直至今年6月,微软宣布正式停止对IE浏览器的服务,这场持续了十余年的浏览器大战才算是阶段性的告一段落。

作为逆风入局却后来者居上的赢家,在不久前刚刚结束的Goolge I/O大会上,Chrome也交出了令人满意的答卷。会上Google高管Darin Fisher表示,截止今年6月,全球移动版Chrome用户数量已突破4亿,总市场份额达到60%。经过十四年的蜕变,如今Chrome已一跃成为目前全球用户量最多的浏览器,没有之一。

Chrome的高速发展,为其带来了庞大的用户流量与关注,但正所谓“树大招风”,超亿级的用户与数据规模,也经常让它成为黑客恶意攻击的重要目标。

作为数字化场景下使用频率最高的基础应用软件,浏览器及其网络组件承担了资源加载这一关键而复杂的任务。当浏览器处理来自远程服务器不可信数据的过程中,很可能会出现严重的安全漏洞。

本届XCon2022大会中,来自360漏洞研究院的高级安全研究员 简容将与我们共同分享议题《流量中的威胁:Chrome网络组件漏洞剖析》以全球最受欢迎的浏览器Chrome为实例,分享在其网络组件中发现的多个缺陷,以及如何利用这些逻辑漏洞转换为内存破坏,进而攻克Chrome的全过程。

流量中的威胁:Chrome网络组件漏洞剖析
议题简介

传统Chrome浏览器的利用思路,通常是攻击JavaScript引擎控制渲染进程,再攻击主进程完成沙箱逃逸。本议题将以网络组件为切入点,着手其中的设计缺陷,再转换为内存安全问题,为安全的研究提供崭新的思路。

简容
360漏洞研究院高级安全研究员

专注浏览器安全,连续两年在天府杯网络安全大赛攻破Chrome浏览器,名列2021 Chrome VRP Top10精英榜,曾在BlackhatUSA、Mosec、ISC等安全会议上进行主题演讲。

XCon2022现已定档2022年9月19日

金秋帝都,首场网安人的技术狂欢

【会议地点】

北京市·朝阳区·望京昆泰酒店二层宴会厅

售票通道现已开启

臻挚友·早鸟票限期发售中!!!

【¥1,890元-敢破·臻挚友】(早鸟票)

全场可通行,含会议日午餐及年度会刊

9月13日18:00前购买,可享此福利

【¥2,700元-敢为·突破者】(正价票)

全场可通行,含会议日午餐及年度会刊

【¥0元-敢潮·体验官】(体验票)

外场区域+XReward路演区可通行

不含主会场演讲、午餐及年度会刊

*购买0元票需进行身份审核,购票成功后,如因个人原因未能如期参会

将对您在嘶票平台的个人信誉造成影响

降低您参与平台其他免费活动的审核通过率

【¥4,500元-敢壕·破冰人】(现场票)

仅限会议日当天现场购买,不支持票券折扣

扫描下方二维码

即可进入购票页面


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247549399&idx=1&sn=f58e57420b061bab8141553ea2f6b556&chksm=e915d1edde6258fb14e5f0b34744908f9789303d76a49df951e8c9ad71d1368b3906f01453b0#rd
如有侵权请联系:admin#unsafe.sh